Cotație de reducere pentru licențe multiple
Securitatea computerelor Senatorul Wyden solicită FTC să investigheze Microsoft...

Senatorul Wyden solicită FTC să investigheze Microsoft din cauza vulnerabilităților ransomware

Până în Sandos în Securitatea computerelor
Tradu in:

Senatorul american Ron Wyden a solicitat oficial Comisiei Federale pentru Comerț (FTC) să investigheze compania Microsoft pentru ceea ce el descrie drept „neglijență gravă în domeniul securității cibernetice” în urma unui atac ransomware asupra furnizorului de servicii medicale Ascension. Îngrijorarea senatorului se concentrează pe modul în care configurațiile software implicite ale Microsoft ar fi expus rețelele de infrastructură critică la atacuri.

Declanșatorul: Breșa Ascensiunii și Vulnerabilitățile Tehnice

  • Prezentare generală a incidentului: Anul trecut, Ascension, un important sistem de sănătate, a fost lovit de un atac ransomware efectuat de grupul cunoscut sub numele de Black Basta , afectând aproape 5,6 milioane de persoane . Încălcarea a implicat furtul de date, precum și perturbarea dosarelor medicale electronice.
  • Vector inițial: Un contractor care lucra pentru Ascension a dat clic pe un link rău intenționat descoperit prin intermediul motorului de căutare Bing al Microsoft. Acest clic a declanșat reacții în lanț care au permis atacatorilor să exploateze setările implicite nesigure din software-ul Microsoft.
  • Slăbiciune implicită a software-ului: Conform scrisorii senatorului, software-ul Microsoft include setări implicite periculos de nesigure. O problemă cheie este suportul pentru criptarea RC4 în cadrul protocolului de autentificare Kerberos. RC4 este un cifru moștenit, considerat nesigur de cercetările criptografice. Deși este depreciat în multe sisteme moderne, în cazul Microsoft a rămas activat în mod implicit. Acest lucru le-a permis atacatorilor să utilizeze o tehnică cunoscută sub numele de Kerberoasting pentru a extrage acreditările contului de serviciu din Active Directory.

Specificații tehnice: Kerberoasting, cifruri implicite și puncte slabe exploatabile

  • Explicația privind Kerberoasting-ul: Într-un mediu Active Directory, conturile de serviciu cu nume principale de serviciu (SPN) solicită tichete Kerberos. Dacă aceste tichete sunt criptate folosind cifruri slabe precum RC4, un atacator poate obține tichetul, apoi poate efectua atacuri offline (de exemplu, forță brută sau criptoanaliză) pentru a recupera acreditările sau secretele în text simplu ale contului de serviciu. În acest caz, biroul Wyden susține că încălcarea a utilizat aceste tichete protejate RC4.
  • RC4 contează: RC4 (Rivest Cipher 4), un cifru de flux dezvoltat la sfârșitul anilor 1980, este cunoscut de zeci de ani pentru vulnerabilitățile sale - erori în fluxul său de chei și susceptibilitate la recuperarea textului în clar. Organismele de standardizare (de exemplu, IETF) au interzis utilizarea sa în canale securizate, în special TLS, de la mijlocul anilor 2010 din cauza acestor defecte. Microsoft a inclus în continuare suport pentru RC4 în Kerberos în mod implicit, ceea ce, conform Wyden, „expune inutil” clienții atunci când sunt utilizate parole slabe.
  • Puterea parolei și conturile de serviciu: Senatorul subliniază, de asemenea, că Microsoft nu impune politici puternice privind parolele (de exemplu, minimum 14 caractere, parole generate aleatoriu) pentru conturile de serviciu și nici nu impune utilizarea unor cifruri de criptare mai puternice (AES-128 sau AES-256) pentru criptarea tichetelor de serviciu Kerberos atunci când sunt implicate SPN-uri. Aceste politici slabe, combinate cu criptarea implicită slabă, amplifică riscul compromiterii acreditărilor.
  • Măsuri de atenuare recomandate de Microsoft: Ca răspuns la scrisoarea Wyden, Microsoft a publicat îndrumări și a declarat că intenționează să elimine treptat utilizarea RC4. De asemenea, a subliniat pași precum utilizarea conturilor de servicii gestionate de grup (gMSA) sau a conturilor de servicii gestionate delegate (dMSA), auditarea conturilor cu SPN-uri, actualizarea algoritmilor de criptare a tichetelor și setarea de parole puternice, generate aleatoriu, pentru conturile privilegiate. Microsoft a mai dezvăluit că noile domenii Active Directory care utilizează Windows Server 2025 vor avea RC4 dezactivat în mod implicit începând cu primul trimestru al anului 2026.

    • Acuzații privind reglementările și politicile

    • Critica senatorului Wyden depășește o simplă încălcare. În scrisoarea sa de patru pagini adresată președintelui FTC, Andrew Ferguson, el prezintă Microsoft ca având o problemă sistemică: o „cultură a securității cibernetice neglijente”, amplificată de cvasi-monopolul său asupra sistemelor de operare pentru întreprinderi. Wyden folosește un limbaj metaforic aspru, numind Microsoft similar cu „un incendiar care vinde servicii de stingere a incendiilor victimelor sale”.
    • Scrisoarea afirmă că configurațiile implicite ale Microsoft (de exemplu, activarea criptării implicite nesecurizate, politicile de parolă mai permisive) au slăbit în timp protecțiile de bază în multe organizații - în special în cele din domeniul sănătății și al infrastructurii critice. Se sugerează că neglijența în ceea ce privește configurațiile implicite și implicite nu este doar o problemă IT, ci o preocupare de securitate națională.

    Răspunsul Microsoft

    • Recunoașterea faptului că RC4 este învechit și că Microsoft descurajează utilizarea sa „în modul în care proiectăm software-ul nostru și în documentația noastră pentru clienți”. Compania susține că mai puțin de 0,1% din traficul său utilizează încă RC4. Cu toate acestea, Microsoft își exprimă, de asemenea, îngrijorarea că dezactivarea completă și imediată a RC4 ar putea cauza probleme de compatibilitate cu mediile existente.
  • Microsoft s-a angajat să elimine treptat suportul pentru RC4, continuând în același timp să ofere clienților avertismente și îndrumări puternice. În plus, Microsoft menționează că noile domenii AD din Windows Server 2025 vor dezactiva, în mod implicit, criptarea RC4.

    • Evaluarea riscurilor de securitate

    • Suprafață de atac și consecințe în cascadă: Atunci când furnizorii de software permit criptarea slabă în mod implicit sau politici de parolă slabe, aceștia oferă o „alegere ușoară” atacatorilor. Chiar și administratorii de sistem care sunt conștienți de securitate pot moșteni configurații care permit RC4 sau permit acreditări slabe, în special în mediile în care continuitatea și compatibilitatea moștenirilor sunt foarte apreciate.
    • Exploatarea vulnerabilităților: Atacurile de tip Kerberoasting nu sunt speculative; sunt cunoscute, documentate și au fost utilizate cu succes în mai multe incidente de încălcare a securității datelor. Odată ce acreditările contului de serviciu sunt compromise, atacatorii se pot deplasa lateral, pot escalada privilegiile și pot accesa active sensibile. În cadrul mediului medical, acestea pot include date personale despre sănătate, dispozitive medicale IoT și infrastructură critică.
    • Implicații de reglementare și încredere: Întrucât Microsoft este profund integrat în multe medii de infrastructură critică și întreprinderi, erorile în configurarea implicită a securității transferă automat povara apărării către organizațiile care pot duce lipsă de expertiză, resurse sau vizibilitate pentru a detecta astfel de puncte slabe. Daunele aduse reputației și riscul de răspundere sunt substanțiale.

    Implicații de reglementare

    • Acuzația senatorului Wyden ridică întrebări importante despre răspunderea pentru produse , setările de securitate implicite și responsabilitatea furnizorului . În ce măsură ar trebui furnizorii de software să fie trași la răspundere pentru setările nesigure implicite?
    • Instrumente de reglementare precum autoritatea FTC de a investiga „acte sau practici neloiale sau înșelătoare” pot fi aplicate în cazul neglijării securității software. Dacă se constată neglijența Microsoft, acest lucru ar putea crea un precedent pentru modul în care configurațiile implicite, standardele de criptare și cerințele de parolă sunt reglementate în software-ul utilizat pe scară largă.
    • Există, de asemenea, o problemă normativă mai amplă: securizare implicită vs. securizare opțională . Poziția lui Wyden implică faptul că setările implicite ar trebui să fie în favoarea securității, cu o putere mai mare a parolei, dezaprobarea algoritmilor criptografici slabi și configurații sigure integrate - nu ca opțiuni de comutare opționale.
  • Scrisoarea senatorului Wyden către FTC evidențiază o confluență între securitatea cibernetică, reglementare și responsabilitate corporativă. Încălcarea de securitate Ascension este mai mult decât un singur incident; servește drept studiu de caz despre modul în care erorile software utilizate pe scară largă, standardele slabe de criptare și compatibilitatea cu sistemele vechi se pot combina pentru a precipita atacuri la scară largă asupra infrastructurii critice.

    • Scrisoarea senatorului Wyden către FTC evidențiază o confluență între securitatea cibernetică, reglementare și responsabilitate corporativă. Încălcarea de securitate Ascension este mai mult decât un singur incident; servește drept studiu de caz despre modul în care erorile software utilizate pe scară largă, standardele slabe de criptare și compatibilitatea cu sistemele vechi se pot combina pentru a precipita atacuri la scară largă asupra infrastructurii critice.

    Pe măsură ce Microsoft începe să elimine treptat cifrurile nesigure și să publice îndrumări, întrebarea centrală rămâne dacă mecanismele de reglementare vor impune schimbări mai rapide, vor impune valori implicite mai bune și vor trage la răspundere furnizorii pentru activarea riscurilor. Această chestiune merită o analiză atentă - nu doar din partea cercetătorilor în domeniul securității, ci și a autorităților de reglementare, a clienților din mediul de afaceri și a publicului larg.

    Se încarcă...