Cotação de desconto para licenças múltiplas
Segurança do Computador Senador Wyden impulsiona investigação da FTC sobre...

Senador Wyden impulsiona investigação da FTC sobre vulnerabilidades de ransomware na Microsoft

Por Sandos em Segurança do Computador
Traduzir Para:

O senador americano Ron Wyden solicitou formalmente à Comissão Federal de Comércio (FTC) que investigue a Microsoft pelo que ele descreve como "negligência grave em segurança cibernética" após um ataque de ransomware à operadora de saúde Ascension. A preocupação do senador centra-se em como as configurações padrão de software da Microsoft supostamente expuseram redes de infraestrutura crítica a ataques.

O Gatilho: A Brecha da Ascensão e Vulnerabilidades Técnicas

  • Visão geral do incidente: No ano passado, a Ascension, um importante sistema de saúde, foi atingida por um ataque de ransomware realizado pelo grupo conhecido como Black Basta , que afetou quase 5,6 milhões de pessoas . A violação envolveu roubo de dados, bem como a interrupção de registros eletrônicos de saúde.
  • Vetor inicial: Um contratado da Ascension clicou em um link malicioso descoberto pelo mecanismo de busca Bing da Microsoft. Esse clique desencadeou reações em cadeia que permitiram que invasores explorassem padrões inseguros em softwares da Microsoft.
  • Fraqueza do Software Padrão: De acordo com a carta do Senador, o software da Microsoft inclui configurações padrão perigosamente inseguras. Um problema fundamental é o suporte à criptografia RC4 no protocolo de autenticação Kerberos. RC4 é uma cifra legada considerada insegura por pesquisas criptográficas. Embora obsoleta em muitos sistemas modernos, no caso da Microsoft ela permaneceu habilitada por padrão. Isso permitiu que invasores usassem uma técnica conhecida como Kerberoasting para extrair credenciais de contas de serviço do Active Directory.

Especificações técnicas: Kerberoasting, cifras padrão e fraquezas exploráveis

  • Kerberoasting Explicado: Em um ambiente do Active Directory, contas de serviço com Nomes Principais de Serviço (SPNs) solicitam tíquetes Kerberos. Se esses tíquetes forem criptografados usando cifras fracas, como RC4, um invasor pode obter o tíquete e realizar ataques offline (por exemplo, força bruta ou criptoanálise) para recuperar as credenciais ou segredos em texto simples da conta de serviço. Neste caso, o escritório de Wyden alega que a violação utilizou esses tíquetes protegidos por RC4.
  • RC4 Importa: RC4 (Rivest Cipher 4), uma cifra de fluxo desenvolvida no final da década de 1980, é conhecida há décadas por apresentar vulnerabilidades — vieses em seu fluxo de chaves e suscetibilidade à recuperação de texto simples. Órgãos de padronização (por exemplo, IETF) proibiram seu uso em canais seguros, especialmente TLS, desde meados da década de 2010 devido a essas falhas. A Microsoft ainda incluiu suporte para RC4 no Kerberos por padrão, o que, segundo Wyden, "expõe desnecessariamente" os clientes quando senhas fracas são usadas.
  • Força da Senha e Contas de Serviço: O senador também destaca que a Microsoft não impõe políticas de senha fortes (por exemplo, mínimo de 14 caracteres, senhas geradas aleatoriamente) para contas de serviço, nem exige o uso de cifras de criptografia mais fortes (AES-128 ou AES-256) para a criptografia de tíquetes de serviço Kerberos quando SPNs estão envolvidos. Essas políticas fracas, combinadas com uma criptografia padrão fraca, aumentam o risco de comprometimento de credenciais.
  • Atenuações recomendadas pela Microsoft: Em resposta à carta de Wyden, a Microsoft publicou diretrizes e afirmou que planeja descontinuar o uso do RC4. A empresa também descreveu medidas como o uso de Contas de Serviço Gerenciadas por Grupo (gMSA) ou Contas de Serviço Gerenciadas Delegadas (dMSA), auditoria de contas com SPNs, atualização de algoritmos de criptografia de tíquetes e definição de senhas fortes e geradas aleatoriamente para contas privilegiadas. A Microsoft divulgou ainda que os novos domínios do Active Directory que utilizam o Windows Server 2025 terão o RC4 desabilitado por padrão a partir do primeiro trimestre de 2026.

    • Alegações regulatórias e políticas

    • A crítica do senador Wyden vai além de uma violação singular. Em sua carta de quatro páginas ao presidente da FTC, Andrew Ferguson, ele enquadra a Microsoft como tendo um problema sistêmico: uma "cultura de negligência em segurança cibernética", agravada por seu quase monopólio sobre sistemas operacionais corporativos. Wyden usa uma linguagem metafórica contundente, chamando a Microsoft de "um incendiário vendendo serviços de combate a incêndios para suas vítimas".
    • A carta afirma que as configurações padrão da Microsoft (ou seja, habilitar criptografia legada e insegura por padrão, e políticas de senha lenientes) enfraqueceram, ao longo do tempo, as proteções básicas em muitas organizações — especialmente aquelas nos setores de saúde e infraestrutura crítica. A sugestão é que a negligência em relação a padrões e configurações não é apenas uma questão de TI, mas uma preocupação de segurança nacional.

    Resposta da Microsoft

    • Reconhecimento de que o RC4 é antiquado e que a Microsoft desencoraja seu uso "na forma como projetamos nosso software e na documentação para os clientes". A empresa afirma que menos de 0,1% de seu tráfego ainda utiliza o RC4. No entanto, a Microsoft também expressa preocupação de que a desativação completa e imediata do RC4 possa causar problemas de compatibilidade com ambientes existentes.
  • A Microsoft se comprometeu a eliminar gradualmente o suporte a RC4, continuando a fornecer alertas e orientações enfáticas aos clientes. Além disso, a Microsoft observa que os novos domínios do AD no Windows Server 2025 desabilitarão, por padrão, a criptografia RC4.

    • Avaliação de Risco de Segurança

    • Superfície de Ataque e Consequências em Cascata: Quando os fornecedores de software permitem criptografia fraca por padrão ou políticas de senha fracas, eles oferecem uma "escolha fácil" para os invasores. Mesmo administradores de sistema com conhecimento em segurança podem herdar configurações que permitem RC4 ou permitir credenciais fracas, especialmente em ambientes onde a continuidade e a compatibilidade com legados são altamente valorizadas.
    • Explorações de Vulnerabilidade: Ataques de Kerberoasting não são especulativos; são conhecidos, documentados e já foram utilizados com sucesso em diversos incidentes de violação. Uma vez comprometidas as credenciais da conta de serviço, os invasores podem se movimentar lateralmente, escalar privilégios e acessar ativos confidenciais. Em ambientes de saúde, isso pode incluir dados pessoais de saúde, dispositivos médicos de IoT e infraestrutura crítica.
    • Implicações regulatórias e de confiança: Como a Microsoft está profundamente inserida em muitas infraestruturas críticas e ambientes corporativos, falhas na configuração padrão da segurança transferem automaticamente o ônus da defesa para organizações que podem não ter experiência, recursos ou visibilidade para detectar tais fraquezas. Os danos à reputação e o risco de responsabilidade são substanciais.

    Implicações regulatórias

    • A alegação do Senador Wyden levanta questões importantes sobre responsabilidade do produto , configurações de segurança padrão e responsabilidade do fornecedor . Até que ponto os fornecedores de software devem ser responsabilizados por padrões inseguros?
    • Ferramentas regulatórias como a autoridade da FTC para investigar “atos ou práticas injustas ou enganosas” podem ser aplicadas à negligência em segurança de software. Se a Microsoft for considerada negligente, isso poderá abrir um precedente sobre como configurações padrão, padrões de criptografia e requisitos de senha são regulamentados em softwares amplamente utilizados.
    • Há também uma questão normativa mais ampla: segurança por padrão vs. segurança por opção . A posição de Wyden implica que os padrões devem priorizar a segurança, com senhas mais fortes, depreciação de algoritmos criptográficos fracos e configurações seguras incorporadas — não como opções opcionais.
  • A carta do senador Wyden à FTC destaca a confluência de segurança cibernética, regulamentação e responsabilidade corporativa. A violação da Ascension é mais do que um incidente isolado; serve como um estudo de caso sobre como padrões de software amplamente utilizados, padrões de criptografia fracos e compatibilidade com legados podem se combinar para precipitar ataques em larga escala a infraestruturas críticas.

    • A carta do senador Wyden à FTC destaca a confluência de segurança cibernética, regulamentação e responsabilidade corporativa. A violação da Ascension é mais do que um incidente isolado; serve como um estudo de caso sobre como padrões de software amplamente utilizados, padrões de criptografia fracos e compatibilidade com legados podem se combinar para precipitar ataques em larga escala a infraestruturas críticas.

    À medida que a Microsoft começa a eliminar gradualmente as cifras inseguras e a publicar diretrizes, a questão central permanece: os mecanismos regulatórios exigirão mudanças mais rápidas, aplicarão padrões mais rigorosos e responsabilizarão os fornecedores por viabilizar riscos? Esta questão merece um exame minucioso — não apenas por parte de pesquisadores de segurança, mas também de reguladores, clientes corporativos e do público em geral.

    Carregando...