Kortingsaanbieding voor meerdere licenties
Computerbeveiliging Senator Wyden dringt aan op onderzoek van FTC naar...

Senator Wyden dringt aan op onderzoek van FTC naar Microsoft vanwege kwetsbaarheden in ransomware

Tegen Sandos in Computerbeveiliging
Vertalen naar:

De Amerikaanse senator Ron Wyden heeft de Federal Trade Commission (FTC) formeel opgeroepen om Microsoft te onderzoeken vanwege wat hij omschrijft als "grove nalatigheid op het gebied van cyberbeveiliging" na een ransomware-aanval op zorgaanbieder Ascension. De senator maakt zich zorgen over hoe de standaard softwareconfiguraties van Microsoft kritieke infrastructuurnetwerken zouden hebben blootgesteld aan aanvallen.

De trigger: de Ascension Breach en technische kwetsbaarheden

  • Overzicht van het incident: Vorig jaar werd Ascension, een groot zorgsysteem, getroffen door een ransomware-aanval uitgevoerd door de groep Black Basta . Bijna 5,6 miljoen mensen werden getroffen. De inbreuk ging gepaard met datadiefstal en verstoring van elektronische patiëntendossiers.
  • Initiële vector: Een contractant die voor Ascension werkte, klikte op een kwaadaardige link die was ontdekt via de Bing-zoekmachine van Microsoft. Deze klik veroorzaakte een kettingreactie waarmee aanvallers misbruik konden maken van onveilige standaardinstellingen in Microsoft-software.
  • Zwakke punten in de standaardsoftware: Volgens de brief van de senator bevat de software van Microsoft gevaarlijk onveilige standaardinstellingen. Een belangrijk probleem is de ondersteuning voor RC4-encryptie binnen het Kerberos-authenticatieprotocol. RC4 is een verouderde encryptiemethode die door cryptografisch onderzoek als onveilig wordt beschouwd. Hoewel deze in veel moderne systemen is afgekeurd, bleef deze in het geval van Microsoft standaard ingeschakeld. Hierdoor konden aanvallers een techniek genaamd Kerberoasting gebruiken om inloggegevens van serviceaccounts uit Active Directory te halen.

Technische specificaties: Kerberoasting, standaardcijfers en exploiteerbare zwakheden

  • Uitleg over Kerberoasting: in een Active Directory-omgeving vragen serviceaccounts met Service Principal Names (SPN's) Kerberos-tickets aan. Als deze tickets versleuteld zijn met zwakke encryptie zoals RC4, kan een aanvaller het ticket bemachtigen en vervolgens offline aanvallen uitvoeren (bijvoorbeeld brute force of cryptoanalyse) om de inloggegevens of geheimen van het serviceaccount in platte tekst te achterhalen. In dit geval beweert Wydens kantoor dat de inbreuk gebruikmaakte van deze RC4-beveiligde tickets.
  • RC4-kwesties: RC4 (Rivest Cipher 4), een stroomcijfer dat eind jaren 80 werd ontwikkeld, staat al tientallen jaren bekend om zijn kwetsbaarheden – biases in de sleutelstroom en kwetsbaarheid voor herstel van platte tekst. Standaardisatie-instellingen (zoals de IETF) hebben het gebruik ervan in beveiligde kanalen, met name TLS, sinds medio 2010 verboden vanwege deze kwetsbaarheden. Microsoft heeft standaard nog steeds ondersteuning voor RC4 in Kerberos opgenomen, wat volgens Wyden klanten "onnodig blootstelt" bij het gebruik van zwakke wachtwoorden.
  • Wachtwoordsterkte en serviceaccounts: De senator benadrukt ook dat Microsoft geen sterk wachtwoordbeleid hanteert (bijv. minimaal 14 tekens, willekeurig gegenereerde wachtwoorden) voor serviceaccounts, en ook geen sterkere encryptiecodes (AES-128 of AES-256) vereist voor Kerberos-serviceticketversleuteling wanneer SPN's betrokken zijn. Deze zwakke beleidsregels, gecombineerd met zwakke standaardversleuteling, vergroten het risico op inbreuk op inloggegevens.
  • Door Microsoft aanbevolen maatregelen: Naar aanleiding van Wydens brief heeft Microsoft richtlijnen gepubliceerd en aangegeven dat het van plan is het gebruik van RC4 geleidelijk af te schaffen. Het beschreef ook stappen zoals het gebruik van Group Managed Service Accounts (gMSA) of Delegated Managed Service Accounts (dMSA), het controleren van accounts met SPN's, het bijwerken van ticketversleutelingsalgoritmen en het instellen van sterke, willekeurig gegenereerde wachtwoorden voor geprivilegieerde accounts. Microsoft maakte verder bekend dat RC4 vanaf het eerste kwartaal van 2026 standaard uitgeschakeld zal zijn in nieuwe Active Directory-domeinen die Windows Server 2025 gebruiken.

    • Regelgevende en beleidsmatige beschuldigingen

    • De kritiek van senator Wyden gaat verder dan een enkele inbreuk. In zijn vier pagina's tellende brief aan FTC-voorzitter Andrew Ferguson schetst hij Microsoft als een systeemprobleem: een "cultuur van nalatige cyberbeveiliging", versterkt door het bijna-monopolie op besturingssystemen voor bedrijven. Wyden gebruikt scherpe, metaforische taal en noemt Microsoft "een brandstichter die brandweerdiensten verkoopt aan zijn slachtoffers".
    • De brief stelt dat de standaardconfiguraties van Microsoft (d.w.z. het standaard inschakelen van verouderde, onveilige encryptie en soepele wachtwoordbeleid) in de loop der tijd de basisbeveiliging in veel organisaties hebben verzwakt, met name in de gezondheidszorg en kritieke infrastructuur. De suggestie is dat nalatigheid in standaardinstellingen en configuratie niet alleen een IT-probleem is, maar ook een probleem voor de nationale veiligheid.

    De reactie van Microsoft

    • Erkenning dat RC4 verouderd is en dat Microsoft het gebruik ervan afraadt "in de manier waarop we onze software ontwikkelen en in onze documentatie voor klanten". Het bedrijf beweert dat minder dan 0,1% van zijn verkeer nog steeds RC4 gebruikt. Microsoft maakt zich echter ook zorgen dat het onmiddellijk volledig uitschakelen van RC4 compatibiliteitsproblemen met bestaande omgevingen kan veroorzaken.
  • Microsoft heeft zich ertoe verbonden de ondersteuning voor RC4 geleidelijk te beëindigen en klanten tegelijkertijd te blijven waarschuwen en adviseren. Daarnaast merkt Microsoft op dat nieuwe AD-domeinen in Windows Server 2025 standaard RC4-versleuteling zullen uitschakelen.

    • Beveiligingsrisicobeoordeling

    • Aanvalsoppervlak en cascade-effecten: Wanneer softwareleveranciers standaard zwakke encryptie of een zwak wachtwoordbeleid toestaan, bieden ze aanvallers een "makkelijke prooi". Zelfs beveiligingsbewuste systeembeheerders kunnen configuraties overnemen die RC4 toestaan of zwakke inloggegevens toestaan, met name in omgevingen waar continuïteit en legacy-compatibiliteit hoog in het vaandel staan.
    • Kwetsbaarheidsexploits: Kerberoasting-aanvallen zijn niet speculatief; ze zijn bekend, gedocumenteerd en succesvol gebruikt bij meerdere inbreuken. Zodra de inloggegevens van serviceaccounts zijn gecompromitteerd, kunnen aanvallers zich lateraal verplaatsen, privileges verhogen en toegang krijgen tot gevoelige assets. In de gezondheidszorg kan dit onder meer persoonlijke gezondheidsgegevens, IoT-medische apparaten en kritieke infrastructuur omvatten.
    • Implicaties voor regelgeving en vertrouwen: Omdat Microsoft diepgeworteld is in veel kritieke infrastructuren en bedrijfsomgevingen, verschuiven fouten in de standaardconfiguratie van beveiliging automatisch de verdedigingslast naar organisaties die mogelijk niet over de expertise, middelen of zichtbaarheid beschikken om dergelijke zwakke punten te detecteren. De reputatieschade en het aansprakelijkheidsrisico zijn aanzienlijk.

    Regelgevende implicaties

    • De bewering van senator Wyden roept belangrijke vragen op over productaansprakelijkheid , standaard beveiligde instellingen en de verantwoordelijkheid van leveranciers . In hoeverre moeten softwareleveranciers aansprakelijk worden gesteld voor onveilige standaardinstellingen?
    • Regelgevende instrumenten zoals de bevoegdheid van de FTC om "oneerlijke of misleidende handelingen of praktijken" te onderzoeken, kunnen worden toegepast op nalatigheid in softwarebeveiliging. Als Microsoft nalatig blijkt te zijn, zou dit een precedent kunnen scheppen voor de manier waarop standaardconfiguraties, encryptiestandaarden en wachtwoordvereisten worden gereguleerd in veelgebruikte software.
    • Er is ook een bredere normatieve kwestie: veilig-bij-standaard versus veilig-bij-optie . Wydens standpunt impliceert dat standaardinstellingen de voorkeur moeten geven aan veiligheid, met sterkere wachtwoorden, het afschaffen van zwakke cryptografische algoritmen en ingebouwde veilige configuraties – niet als optionele opties.
  • De brief van senator Wyden aan de FTC benadrukt de samenhang tussen cybersecurity, regelgeving en verantwoordingsplicht van bedrijven. De Ascension-inbreuk is meer dan één incident; het dient als een casestudy van hoe veelgebruikte softwarestandaarden, zwakke encryptiestandaarden en verouderde compatibiliteit samen grootschalige aanvallen op kritieke infrastructuur kunnen veroorzaken.

    • De brief van senator Wyden aan de FTC benadrukt de samenhang tussen cybersecurity, regelgeving en verantwoordingsplicht van bedrijven. De Ascension-inbreuk is meer dan één incident; het dient als een casestudy van hoe veelgebruikte softwarestandaarden, zwakke encryptiestandaarden en verouderde compatibiliteit samen grootschalige aanvallen op kritieke infrastructuur kunnen veroorzaken.

    Nu Microsoft onveilige codes begint uit te faseren en richtlijnen publiceert, blijft de centrale vraag of regelgevingsmechanismen snellere veranderingen zullen eisen, betere standaardinstellingen zullen afdwingen en leveranciers verantwoordelijk zullen houden voor het mogelijk maken van risico's. Deze kwestie verdient nauwlettend toezicht – niet alleen door beveiligingsonderzoekers, maar ook door toezichthouders, zakelijke klanten en het grote publiek.

    Bezig met laden...