Oferta rabatowa na wiele licencji
Bezpieczeństwo komputerowe Senator Wyden naciska na FTC wszczęcie dochodzenia w...

Senator Wyden naciska na FTC wszczęcie dochodzenia w sprawie Microsoftu w związku z lukami w zabezpieczeniach ransomware

Do Sandos w Bezpieczeństwo komputerowe
Przetłumacz na:

Senator USA Ron Wyden oficjalnie zwrócił się do Federalnej Komisji Handlu (FTC) o zbadanie firmy Microsoft pod kątem „rażącego zaniedbania w zakresie cyberbezpieczeństwa” po ataku ransomware na dostawcę usług medycznych Ascension. Obawy senatora koncentrują się na tym, w jaki sposób domyślne konfiguracje oprogramowania Microsoftu rzekomo narażały sieci infrastruktury krytycznej na ataki.

Wyzwalacz: naruszenie bezpieczeństwa Ascension i luki techniczne

  • Opis incydentu: W zeszłym roku Ascension, duży system opieki zdrowotnej, padł ofiarą ataku ransomware przeprowadzonego przez grupę znaną jako Black Basta , który dotknął prawie 5,6 miliona osób . Naruszenie obejmowało kradzież danych oraz zakłócenia w działaniu elektronicznej dokumentacji medycznej.
  • Wektor początkowy: Kontrahent pracujący dla Ascension kliknął złośliwy link odkryty w wyszukiwarce Bing firmy Microsoft. To kliknięcie uruchomiło reakcję łańcuchową, która umożliwiła atakującym wykorzystanie niebezpiecznych domyślnych ustawień oprogramowania Microsoft.
  • Słabość domyślnego oprogramowania: Według listu senatora, oprogramowanie Microsoftu zawiera niebezpiecznie niebezpieczne ustawienia domyślne. Jednym z kluczowych problemów jest obsługa szyfrowania RC4 w protokole uwierzytelniania Kerberos. RC4 to starszy szyfr, który w badaniach kryptograficznych uznawany jest za niebezpieczny. Chociaż w wielu nowoczesnych systemach jest on przestarzały, w przypadku Microsoftu pozostał domyślnie włączony. Umożliwiło to atakującym wykorzystanie techniki znanej jako Kerberoasting do wydobycia danych uwierzytelniających konta usługi z Active Directory.

Szczegóły techniczne: Kerberoasting, domyślne szyfry i podatne na wykorzystanie słabości

  • Wyjaśnienie Kerberoastingu: W środowisku Active Directory konta usług z nazwami głównymi usług (SPN) żądają biletów Kerberos. Jeśli te bilety są zaszyfrowane słabymi szyframi, takimi jak RC4, atakujący może uzyskać bilet, a następnie przeprowadzić ataki offline (np. metodą brute force lub kryptoanalizą) w celu odzyskania danych uwierzytelniających konta usługi w postaci zwykłego tekstu lub poufnych informacji. Biuro Wydena twierdzi, że w tym przypadku włamanie wykorzystało bilety chronione RC4.
  • RC4 ma znaczenie: RC4 (Rivest Cipher 4), szyfr strumieniowy opracowany pod koniec lat 80. XX wieku, od dziesięcioleci znany jest z luk w zabezpieczeniach – błędów w strumieniu klucza i podatności na odzyskiwanie tekstu jawnego. Organizacje normalizacyjne (np. IETF) zakazały jego stosowania w bezpiecznych kanałach, zwłaszcza TLS, od połowy lat 2010. z powodu tych wad. Microsoft nadal domyślnie uwzględniał obsługę RC4 w Kerberos, co, jak twierdzi Wyden, „niepotrzebnie naraża” klientów na niebezpieczeństwo w przypadku używania słabych haseł.
  • Siła hasła i konta usług: Senator podkreśla również, że Microsoft nie egzekwuje silnych zasad dotyczących haseł (np. minimum 14 znaków, hasła generowane losowo) dla kont usług, ani nie wymaga stosowania silniejszych szyfrów (AES-128 lub AES-256) do szyfrowania biletów usług Kerberos, gdy w grę wchodzą nazwy SPN. Te słabe zasady, w połączeniu ze słabym domyślnym szyfrowaniem, zwiększają ryzyko naruszenia poświadczeń.
  • Środki zaradcze zalecane przez Microsoft: W odpowiedzi na list Wydena, Microsoft opublikował wytyczne i poinformował o planach stopniowego wycofywania RC4. Przedstawiono również takie kroki, jak korzystanie z grupowych kont usług zarządzanych (gMSA) lub delegowanych kont usług zarządzanych (dMSA), audyt kont z nazwami SPN, aktualizacja algorytmów szyfrowania biletów oraz ustawianie silnych, losowo generowanych haseł dla kont uprzywilejowanych. Microsoft ujawnił również, że nowe domeny Active Directory korzystające z systemu Windows Server 2025 będą miały domyślnie wyłączony RC4 od pierwszego kwartału 2026 roku.

    • Zarzuty dotyczące regulacji i polityki

    • Krytyka senatora Wydena wykracza poza pojedyncze naruszenie. W swoim czterostronicowym liście do przewodniczącego FTC, Andrew Fergusona, przedstawia Microsoft jako firmę z problemem systemowym: „kulturą zaniedbań w cyberbezpieczeństwie”, wzmocnioną niemal monopolistyczną pozycją na rynku systemów operacyjnych dla przedsiębiorstw. Wyden używa ostrego języka metaforycznego, porównując Microsoft do „podpalacza sprzedającego usługi gaśnicze swoim ofiarom”.
    • W liście stwierdzono, że domyślne konfiguracje Microsoftu (tj. domyślne włączanie przestarzałego, niezabezpieczonego szyfrowania i liberalnych zasad dotyczących haseł) z czasem osłabiły podstawowe zabezpieczenia w wielu organizacjach – szczególnie w sektorze opieki zdrowotnej i infrastruktury krytycznej. Sugeruje się, że zaniedbania w zakresie domyślnych ustawień i konfiguracji to nie tylko problem IT, ale także zagrożenie dla bezpieczeństwa narodowego.

    Odpowiedź Microsoftu

    • Uznanie, że RC4 jest przestarzały i że Microsoft odradza jego stosowanie „w sposobie projektowania naszego oprogramowania i w dokumentacji dla klientów”. Firma twierdzi, że mniej niż 0,1% jej ruchu nadal korzysta z RC4. Microsoft wyraża jednak również obawy, że natychmiastowe całkowite wyłączenie RC4 może spowodować problemy ze zgodnością z istniejącymi środowiskami.
  • Firma Microsoft zobowiązała się do stopniowego eliminowania obsługi szyfrowania RC4, jednocześnie nadal przekazując klientom istotne ostrzeżenia i wskazówki. Ponadto Microsoft zaznacza, że nowe domeny Active Directory w systemie Windows Server 2025 domyślnie wyłączą szyfrowanie RC4.

    • Ocena ryzyka bezpieczeństwa

    • Powierzchnia ataku i kaskadowe konsekwencje: Kiedy dostawcy oprogramowania domyślnie dopuszczają słabe szyfrowanie lub słabe zasady dotyczące haseł, atakujący mają łatwy wybór. Nawet administratorzy systemów świadomi bezpieczeństwa mogą odziedziczyć konfiguracje zezwalające na RC4 lub słabe uwierzytelnianie, szczególnie w środowiskach, w których ciągłość i kompatybilność ze starszymi systemami są wysoko cenione.
    • Wykorzystanie luk w zabezpieczeniach: Ataki Kerberoasting nie są spekulatywne; są znane, udokumentowane i zostały z powodzeniem wykorzystane w wielu incydentach naruszenia bezpieczeństwa. Po naruszeniu danych uwierzytelniających konta usługi atakujący mogą działać bocznie, eskalować uprawnienia i uzyskiwać dostęp do wrażliwych zasobów. W placówkach opieki zdrowotnej może to obejmować dane osobowe dotyczące zdrowia, urządzenia medyczne IoT oraz infrastrukturę krytyczną.
    • Implikacje regulacyjne i dotyczące zaufania: Ponieważ Microsoft jest głęboko osadzony w wielu krytycznych infrastrukturach i środowiskach korporacyjnych, błędy w domyślnej konfiguracji zabezpieczeń automatycznie przenoszą ciężar obrony na organizacje, które mogą nie mieć odpowiedniej wiedzy specjalistycznej, zasobów lub widoczności, aby wykryć takie słabości. Ryzyko utraty reputacji i odpowiedzialności jest znaczne.

    Implikacje regulacyjne

    • Oskarżenie senatora Wydena rodzi ważne pytania dotyczące odpowiedzialności za produkt , domyślnych ustawień bezpieczeństwa i odpowiedzialności dostawcy . W jakim stopniu dostawcy oprogramowania powinni ponosić odpowiedzialność za niebezpieczne ustawienia domyślne?
    • Narzędzia regulacyjne, takie jak uprawnienia Federalnej Komisji Handlu (FTC) do badania „nieuczciwych lub wprowadzających w błąd działań lub praktyk”, mogą być stosowane w przypadku zaniedbań w zakresie bezpieczeństwa oprogramowania. Jeśli Microsoft zostanie uznany za winnego zaniedbań, może to stanowić precedens dla sposobu, w jaki domyślne konfiguracje, standardy szyfrowania i wymagania dotyczące haseł są regulowane w powszechnie używanym oprogramowaniu.
    • Istnieje również szerszy problem normatywny: bezpieczeństwo domyślne kontra bezpieczeństwo opcjonalne . Stanowisko Wydena sugeruje, że ustawienia domyślne powinny być bardziej bezpieczne, z silniejszą wersją haseł, odrzuceniem słabych algorytmów kryptograficznych i wbudowanymi bezpiecznymi konfiguracjami, a nie opcjonalnymi przełącznikami.
  • List senatora Wydena do FTC podkreśla zbieżność cyberbezpieczeństwa, regulacji i odpowiedzialności korporacyjnej. Naruszenie bezpieczeństwa Ascension to coś więcej niż pojedynczy incydent; stanowi ono studium przypadku tego, jak powszechnie stosowane domyślne ustawienia oprogramowania, słabe standardy szyfrowania i kompatybilność ze starszymi systemami mogą łączyć się, prowadząc do ataków na infrastrukturę krytyczną na dużą skalę.

    • List senatora Wydena do FTC podkreśla zbieżność cyberbezpieczeństwa, regulacji i odpowiedzialności korporacyjnej. Naruszenie bezpieczeństwa Ascension to coś więcej niż pojedynczy incydent; stanowi ono studium przypadku tego, jak powszechnie stosowane domyślne ustawienia oprogramowania, słabe standardy szyfrowania i kompatybilność ze starszymi systemami mogą łączyć się, prowadząc do ataków na infrastrukturę krytyczną na dużą skalę.

    W miarę jak Microsoft zaczyna stopniowo wycofywać niebezpieczne szyfry i publikować wytyczne, kluczowe pozostaje pytanie, czy mechanizmy regulacyjne będą wymagać szybszych zmian, egzekwować lepsze domyślne ustawienia i pociągać dostawców do odpowiedzialności za stwarzanie ryzyka. Ta sprawa zasługuje na wnikliwą analizę – nie tylko ze strony badaczy bezpieczeństwa, ale także organów regulacyjnych, klientów korporacyjnych i ogółu społeczeństwa.

    Ładowanie...