सिनेटर वाइडेनले र्‍यान्समवेयर कमजोरीहरूको बारेमा माइक्रोसफ्टमा FTC अनुसन्धानलाई अगाडि बढाए

यसमा अनुवाद गर्नुहोस्:

अमेरिकी सिनेटर रोन वाइडेनले स्वास्थ्य सेवा प्रदायक एसेन्सनमा भएको र्यान्समवेयर आक्रमणपछि माइक्रोसफ्टलाई "घोर साइबरसुरक्षा लापरवाही" भनेर वर्णन गरेकोमा अनुसन्धान गर्न संघीय व्यापार आयोग (FTC) लाई औपचारिक रूपमा आह्वान गरेका छन्। सिनेटरको चिन्ता माइक्रोसफ्टको पूर्वनिर्धारित सफ्टवेयर कन्फिगरेसनले कसरी महत्वपूर्ण पूर्वाधार नेटवर्कहरूलाई आक्रमणको लागि उजागर गरेको भन्ने कुरामा केन्द्रित छ।

सामग्रीको तालिका

ट्रिगर: एसेन्सन उल्लंघन र प्राविधिक जोखिमहरू

घटनाको सिंहावलोकन: गत वर्ष, प्रमुख स्वास्थ्य सेवा प्रणाली, एसेन्सन, ब्ल्याक बास्टा भनेर चिनिने समूहले गरेको र्यान्समवेयर आक्रमणबाट प्रभावित भएको थियो, जसले लगभग ५६ लाख व्यक्तिहरूलाई असर गरेको थियो। यस उल्लंघनमा डेटा चोरी, साथै इलेक्ट्रोनिक स्वास्थ्य रेकर्डमा अवरोध समावेश थियो।
प्रारम्भिक भेक्टर: एसेन्सनको लागि काम गर्ने एक ठेकेदारले माइक्रोसफ्टको बिंग खोज इन्जिन मार्फत पत्ता लागेको दुर्भावनापूर्ण लिङ्कमा क्लिक गर्यो। यो क्लिकले आक्रमणकारीहरूलाई माइक्रोसफ्ट सफ्टवेयरमा असुरक्षित पूर्वनिर्धारितहरूको शोषण गर्न अनुमति दिने चेन प्रतिक्रियाहरू सुरु गर्यो।
पूर्वनिर्धारित सफ्टवेयर कमजोरी: सिनेटरको पत्र अनुसार, माइक्रोसफ्टको सफ्टवेयरमा खतरनाक रूपमा असुरक्षित पूर्वनिर्धारित सेटिङहरू समावेश छन्। एउटा प्रमुख मुद्दा केर्बेरोस प्रमाणीकरण प्रोटोकल भित्र RC4 इन्क्रिप्शनको लागि समर्थन हो। RC4 क्रिप्टोग्राफिक अनुसन्धानद्वारा असुरक्षित मानिएको एक लिगेसी साइफर हो। धेरै आधुनिक प्रणालीहरूमा बहिष्कृत भए पनि, माइक्रोसफ्टको मामलामा यो पूर्वनिर्धारित रूपमा सक्षम रह्यो। यसले आक्रमणकारीहरूलाई सक्रिय निर्देशिकाबाट सेवा खाता प्रमाणहरू निकाल्न Kerberoasting भनेर चिनिने प्रविधि प्रयोग गर्न अनुमति दियो।

प्राविधिक विशिष्टताहरू: केर्बेरोस्टिङ, पूर्वनिर्धारित साइफरहरू, र शोषणयोग्य कमजोरीहरू

Kerberoasting को व्याख्या: सक्रिय निर्देशिका वातावरणमा, सेवा प्रमुख नामहरू (SPNs) भएका सेवा खाताहरूले Kerberos टिकटहरू अनुरोध गर्छन्। यदि ती टिकटहरू RC4 जस्ता कमजोर साइफरहरू प्रयोग गरेर इन्क्रिप्ट गरिएका छन् भने, आक्रमणकारीले टिकट प्राप्त गर्न सक्छ, त्यसपछि सेवा खाताको प्लेनटेक्स्ट प्रमाणहरू वा गोप्यहरू पुन: प्राप्ति गर्न अफलाइन आक्रमणहरू (जस्तै, ब्रूट फोर्स वा क्रिप्ट विश्लेषण) गर्न सक्छ। यस अवस्थामा, Wyden को कार्यालयले यी RC4-सुरक्षित टिकटहरूको प्रयोग गरेको दाबी गर्छ।

RC4 मामिलाहरू: RC4 (Rivest Cipher 4), १९८० को दशकको अन्त्यतिर विकसित गरिएको स्ट्रिम साइफर, दशकौंदेखि कमजोरीहरू भएको भनेर चिनिन्छ - यसको मुख्यधारामा पूर्वाग्रह र प्लेनटेक्स्ट रिकभरीको लागि संवेदनशीलता। मानक निकायहरू (जस्तै, IETF) ले ती त्रुटिहरूको कारणले गर्दा २०१० को मध्यदेखि सुरक्षित च्यानलहरू, विशेष गरी TLS मा यसको प्रयोगलाई निषेध गरेको छ। माइक्रोसफ्टले अझै पनि पूर्वनिर्धारित रूपमा Kerberos मा RC4 को लागि समर्थन समावेश गरेको छ, जुन Wyden ले कमजोर पासवर्डहरू प्रयोगमा हुँदा ग्राहकहरूलाई "अनावश्यक रूपमा उजागर" गर्छ भन्छ।

पासवर्ड शक्ति र सेवा खाताहरू: सिनेटरले यो पनि हाइलाइट गर्छन् कि माइक्रोसफ्टले सेवा खाताहरूको लागि बलियो पासवर्ड नीतिहरू (जस्तै, १४-वर्णको न्यूनतम, अनियमित रूपमा उत्पन्न पासवर्डहरू) लागू गर्दैन, न त SPN हरू संलग्न हुँदा Kerberos सेवा टिकट इन्क्रिप्शनको लागि बलियो इन्क्रिप्शन साइफरहरू (AES-128 वा AES-256) को प्रयोग आवश्यक पर्दछ। कमजोर पूर्वनिर्धारित इन्क्रिप्शनसँग मिलेर यी कमजोर नीतिहरूले प्रमाणपत्र सम्झौताको जोखिमलाई बढाउँछन्।

माइक्रोसफ्टले सिफारिस गरेको न्यूनीकरण: वाइडनको पत्रको जवाफमा, माइक्रोसफ्टले निर्देशन प्रकाशित गरेको छ र RC4 प्रयोगलाई चरणबद्ध रूपमा बन्द गर्ने योजना बनाएको बताएको छ। यसले समूह व्यवस्थित सेवा खाताहरू (gMSA) वा प्रत्यायोजित व्यवस्थित सेवा खाताहरू (dMSA) को प्रयोग, SPN हरूसँग खाताहरूको लेखा परीक्षण, टिकट इन्क्रिप्शन एल्गोरिदमहरू अद्यावधिक गर्ने, र विशेषाधिकार प्राप्त खाताहरूको लागि बलियो, अनियमित रूपमा उत्पन्न पासवर्डहरू सेट गर्ने जस्ता चरणहरू पनि उल्लेख गरेको छ। माइक्रोसफ्टले थप खुलासा गर्‍यो कि विन्डोज सर्भर २०२५ प्रयोग गर्ने नयाँ सक्रिय निर्देशिका डोमेनहरूमा २०२६ को पहिलो त्रैमासिकदेखि पूर्वनिर्धारित रूपमा RC4 असक्षम पारिनेछ।

नियामक र नीतिगत आरोपहरू

सिनेटर वाइडनको आलोचना एकल उल्लङ्घनभन्दा बाहिर जान्छ। FTC अध्यक्ष एन्ड्रयू फर्ग्युसनलाई लेखेको आफ्नो चार पृष्ठको पत्रमा, उनले माइक्रोसफ्टलाई प्रणालीगत समस्या भएको आरोप लगाएका छन्: उद्यम अपरेटिङ सिस्टमहरूमा यसको लगभग एकाधिकारले बढाएको "लापरवाह साइबर सुरक्षाको संस्कृति"। वाइडनले तीखो रूपकात्मक भाषा प्रयोग गर्छन्, माइक्रोसफ्टलाई "आफ्ना पीडितहरूलाई अग्नि नियन्त्रक सेवाहरू बेच्ने आगजनी गर्ने" जस्तै भन्छन्।
पत्रमा माइक्रोसफ्टको पूर्वनिर्धारित कन्फिगरेसनहरू (अर्थात्, लिगेसी सक्षम पार्ने, पूर्वनिर्धारित रूपमा असुरक्षित इन्क्रिप्शन, उदार पासवर्ड नीतिहरू) ले समयसँगै धेरै संस्थाहरूमा आधारभूत सुरक्षाहरूलाई कमजोर बनाएको दाबी गरिएको छ - विशेष गरी स्वास्थ्य सेवा र महत्वपूर्ण पूर्वाधारमा। सुझाव यो हो कि पूर्वनिर्धारित र कन्फिगरेसनमा लापरवाही केवल आईटी मुद्दा मात्र होइन तर राष्ट्रिय सुरक्षा चिन्ता हो।

माइक्रोसफ्टको प्रतिक्रिया

RC4 पुरानो भएको र माइक्रोसफ्टले "हामीले हाम्रो सफ्टवेयर कसरी इन्जिनियर गर्छौं र ग्राहकहरूलाई हाम्रो कागजातमा" यसको प्रयोगलाई निरुत्साहित गर्छ भन्ने कुरा स्वीकार गर्दै। कम्पनीले दाबी गरेको छ कि यसको ट्राफिकको ०.१% भन्दा कमले अझै पनि RC4 प्रयोग गर्दछ। यद्यपि, माइक्रोसफ्टले RC4 लाई तुरुन्तै पूर्ण रूपमा असक्षम पार्नाले अवस्थित वातावरणसँग अनुकूलता समस्याहरू निम्त्याउन सक्छ भन्ने चिन्ता पनि व्यक्त गर्दछ।

माइक्रोसफ्टले ग्राहकहरूलाई कडा चेतावनी र मार्गदर्शन प्रदान गर्दै क्रमशः RC4 समर्थन हटाउन प्रतिबद्ध छ। थप रूपमा, माइक्रोसफ्टले नोट गर्छ कि Windows Server 2025 मा नयाँ AD डोमेनहरूले पूर्वनिर्धारित रूपमा RC4 इन्क्रिप्शनलाई असक्षम पार्नेछ।

सुरक्षा जोखिम मूल्याङ्कन

आक्रमण सतह र क्यास्केडिङ परिणामहरू: जब सफ्टवेयर विक्रेताहरूले पूर्वनिर्धारित रूपमा कमजोर इन्क्रिप्शन वा कमजोर पासवर्ड नीतिहरूलाई अनुमति दिन्छन्, तिनीहरूले आक्रमणकारीहरूलाई "सजिलो छनोट" प्रदान गर्छन्। सुरक्षा-सचेत प्रणाली प्रशासकहरूले पनि RC4 लाई अनुमति दिने वा कमजोर प्रमाणहरूलाई अनुमति दिने कन्फिगरेसनहरू प्राप्त गर्न सक्छन्, विशेष गरी वातावरणमा जहाँ निरन्तरता र लिगेसी अनुकूलतालाई धेरै मूल्यवान मानिन्छ।
जोखिमपूर्ण शोषणहरू: केर्बेरोस्टिङ आक्रमणहरू अनुमानात्मक छैनन्; तिनीहरू ज्ञात छन्, दस्तावेज गरिएका छन्, र धेरै उल्लंघन घटनाहरूमा सफलतापूर्वक प्रयोग गरिएका छन्। एक पटक सेवा खाता प्रमाणहरू सम्झौता भएपछि, आक्रमणकारीहरू पार्श्व रूपमा सर्न सक्छन्, विशेषाधिकारहरू बढाउन सक्छन्, र संवेदनशील सम्पत्तिहरू पहुँच गर्न सक्छन्। स्वास्थ्य सेवा सेटिङहरूमा, यसमा व्यक्तिगत स्वास्थ्य डेटा, IoT चिकित्सा उपकरणहरू, र महत्वपूर्ण पूर्वाधार समावेश हुन सक्छन्।
नियामक र विश्वासको प्रभाव: माइक्रोसफ्ट धेरै महत्वपूर्ण पूर्वाधार र उद्यम वातावरणमा गहिरो रूपमा एम्बेड गरिएको हुनाले, पूर्वनिर्धारित रूपमा सुरक्षा कन्फिगर गर्न असफलताहरूले स्वचालित रूपमा रक्षाको बोझ ती संस्थाहरूमा सार्छ जसमा यस्ता कमजोरीहरू पत्ता लगाउन विशेषज्ञता, स्रोतहरू, वा दृश्यताको अभाव हुन सक्छ। प्रतिष्ठाको क्षति र दायित्व जोखिम पर्याप्त छ।

नियामक प्रभावहरू

सिनेटर वाइडेनको आरोपले उत्पादन दायित्व , पूर्वनिर्धारित सुरक्षित सेटिङहरू , र विक्रेता जिम्मेवारीको बारेमा महत्त्वपूर्ण प्रश्नहरू उठाउँछ। असुरक्षित पूर्वनिर्धारितहरूको लागि सफ्टवेयर विक्रेताहरूलाई कति हदसम्म जवाफदेही बनाउनुपर्छ?
"अनुचित वा भ्रामक कार्य वा अभ्यासहरू" को अनुसन्धान गर्ने FTC को अधिकार जस्ता नियामक उपकरणहरू सफ्टवेयर सुरक्षा बेवास्तामा लागू हुन सक्छ। यदि माइक्रोसफ्ट लापरवाही गरेको पाइयो भने, यसले व्यापक रूपमा प्रयोग हुने सफ्टवेयरमा पूर्वनिर्धारित कन्फिगरेसनहरू, इन्क्रिप्शन मानकहरू, र पासवर्ड आवश्यकताहरू कसरी नियमन गरिन्छ भन्ने कुराको लागि उदाहरण सेट गर्न सक्छ।
त्यहाँ एउटा फराकिलो मानक मुद्दा पनि छ: सेक्योर-बाय-डिफल्ट बनाम सेक्योर-बाय-अप्शन । वाइडेनको अडानले संकेत गर्छ कि डिफल्टहरू सुरक्षाको पक्षमा गल्ती हुनुपर्छ, उच्च पासवर्ड शक्ति, कमजोर क्रिप्टोग्राफिक एल्गोरिदमको ह्रास, र सुरक्षित कन्फिगरेसनहरू बेक्ड इन - वैकल्पिक टगलहरूको रूपमा होइन।

सिनेटर वाइडेनले FTC लाई लेखेको पत्रले साइबर सुरक्षा, नियमन र कर्पोरेट जवाफदेहिताको संगमलाई प्रकाश पार्छ। एसेन्सन उल्लंघन एकल घटना मात्र होइन; यसले कसरी व्यापक रूपमा प्रयोग हुने सफ्टवेयर पूर्वनिर्धारितता, कमजोर इन्क्रिप्शन मापदण्डहरू, र लिगेसी अनुकूलताले महत्वपूर्ण पूर्वाधारमा ठूलो मात्रामा आक्रमणहरू निम्त्याउन सक्छ भन्ने कुराको केस स्टडीको रूपमा काम गर्दछ।

माइक्रोसफ्टले असुरक्षित साइफरहरू चरणबद्ध रूपमा हटाउन र मार्गदर्शन प्रकाशित गर्न थालेपछि, केन्द्रीय प्रश्न यो रहन्छ कि नियामक संयन्त्रहरूले अझ छिटो परिवर्तनको माग गर्नेछन्, राम्रो पूर्वनिर्धारितहरू लागू गर्नेछन्, र जोखिम सक्षम पार्न विक्रेताहरूलाई जिम्मेवार ठहराउनेछन्। यो विषयलाई सुरक्षा अनुसन्धानकर्ताहरूबाट मात्र नभई नियामकहरू, उद्यम ग्राहकहरू र आम जनताबाट पनि नजिकबाट छानबिन गर्न लायक छ।

खोज्नुहोस्

क्षेत्र परिवर्तन गर्नुहोस्