Скидка на мультилицензию
Компьютерная безопасность Сенатор Уайден настаивает на расследовании FTC в...

Сенатор Уайден настаивает на расследовании FTC в отношении Microsoft из-за уязвимостей в программах-вымогателях

К Sandos году в Компьютерная безопасность году
Перевести на:

Сенатор США Рон Уайден официально призвал Федеральную торговую комиссию (FTC) провести расследование в отношении Microsoft в связи с тем, что он называет «грубой халатностью в области кибербезопасности» после атаки вируса-вымогателя на поставщика медицинских услуг Ascension. Сенатор обеспокоен тем, что стандартные конфигурации программного обеспечения Microsoft предположительно сделали критически важные инфраструктурные сети уязвимыми для атак.

Триггер: нарушение Ascension и технические уязвимости

  • Обзор инцидента: В прошлом году Ascension, крупнейшая система здравоохранения, пострадала от атаки вируса-вымогателя, организованной группировкой Black Basta . В результате атаки пострадало почти 5,6 миллиона человек . В результате взлома были похищены данные, а также нарушена работа электронных медицинских карт.
  • Первоначальный вектор атаки: подрядчик компании Ascension нажал на вредоносную ссылку, обнаруженную в поисковой системе Microsoft Bing. Этот клик запустил цепную реакцию, позволившую злоумышленникам воспользоваться небезопасными настройками по умолчанию в программном обеспечении Microsoft.
  • Уязвимость программного обеспечения по умолчанию: Согласно письму сенатора, программное обеспечение Microsoft включает в себя опасно небезопасные настройки по умолчанию. Одной из ключевых проблем является поддержка шифрования RC4 в протоколе аутентификации Kerberos. RC4 — это устаревший шифр, признанный небезопасным в ходе криптографических исследований. Хотя он и устарел во многих современных системах, в случае Microsoft он оставался включенным по умолчанию. Это позволяло злоумышленникам использовать технику, известную как Kerberoasting, для извлечения учетных данных служб из Active Directory.

Технические характеристики: Kerberoasting, шифры по умолчанию и уязвимости, которые можно эксплуатировать

  • Объяснение Kerberoasting: В среде Active Directory учётные записи служб с именами участников службы (SPN) запрашивают билеты Kerberos. Если эти билеты зашифрованы с использованием слабых шифров, таких как RC4, злоумышленник может получить их, а затем выполнить офлайн-атаки (например, подбор паролей или криптоанализ) для восстановления открытых текстовых учётных данных или секретов учётной записи службы. В данном случае, по данным офиса Уайдена, взлом был проведён с использованием этих билетов, защищённых RC4.
  • RC4 имеет значение: RC4 (Rivest Cipher 4), потоковый шифр, разработанный в конце 1980-х годов, уже несколько десятилетий известен своими уязвимостями: смещением ключевого потока и возможностью восстановления открытого текста. Из-за этих недостатков организации по стандартизации (например, IETF) запретили его использование в защищённых каналах, особенно TLS, с середины 2010-х годов. Microsoft по-прежнему поддерживает RC4 в Kerberos по умолчанию, что, по словам Уайдена, «безосновательно раскрывает» пользователей при использовании слабых паролей.
  • Надёжность паролей и учётные записи служб: Сенатор также подчёркивает, что Microsoft не применяет политику надёжности паролей (например, минимальную длину в 14 символов или случайно сгенерированные пароли) для учётных записей служб, а также не требует использования более надёжных алгоритмов шифрования (AES-128 или AES-256) для шифрования билетов служб Kerberos с использованием имен участников-служб. Эти слабые политики в сочетании со слабым шифрованием по умолчанию увеличивают риск компрометации учётных данных.
  • Рекомендации Microsoft по снижению рисков: В ответ на письмо Уайдена компания Microsoft опубликовала руководство и заявила о планах постепенного отказа от использования RC4. В нём также описаны такие шаги, как использование групповых управляемых учётных записей служб (gMSA) или делегированных управляемых учётных записей служб (dMSA), аудит учётных записей с именами участников-служб (SPN), обновление алгоритмов шифрования билетов и установка надёжных случайно сгенерированных паролей для привилегированных учётных записей. Microsoft также сообщила, что в новых доменах Active Directory на базе Windows Server 2025 RC4 будет отключен по умолчанию, начиная с первого квартала 2026 года.

    • Регуляторные и политические обвинения

    • Критика сенатора Уайдена выходит за рамки единичного нарушения. В своём четырёхстраничном письме председателю Федеральной торговой комиссии Эндрю Фергюсону он характеризует Microsoft как компанию, столкнувшуюся с системной проблемой: «культурой халатного отношения к кибербезопасности», усугублённой практически монополией на корпоративные операционные системы. Уайден использует резкие метафоры, сравнивая Microsoft с «поджигателем, продающим пожарные услуги своим жертвам».
    • В письме утверждается, что настройки Microsoft по умолчанию (то есть включение устаревшего, небезопасного шифрования по умолчанию и мягкие политики паролей) со временем ослабили базовую защиту во многих организациях, особенно в сфере здравоохранения и критически важной инфраструктуры. Предполагается, что небрежность в настройках по умолчанию и конфигурации — это не только проблема ИТ, но и проблема национальной безопасности.

    Ответ Microsoft

    • Признание того, что RC4 устарел , и что Microsoft не рекомендует его использовать «в процессе разработки нашего программного обеспечения и в документации для клиентов». Компания утверждает, что менее 0,1% её трафика всё ещё использует RC4. Однако Microsoft также выражает обеспокоенность тем, что полное отключение RC4 может вызвать проблемы совместимости с существующими средами.
  • Microsoft взяла на себя обязательство постепенно прекратить поддержку RC4, продолжая при этом предоставлять клиентам строгие предупреждения и рекомендации. Кроме того, Microsoft отмечает, что в новых доменах AD в Windows Server 2025 шифрование RC4 по умолчанию будет отключено.

    • Оценка риска безопасности

    • Поверхность атаки и каскадные последствия: когда поставщики программного обеспечения допускают слабое шифрование по умолчанию или слабые политики паролей, они становятся лёгкой добычей для злоумышленников. Даже системные администраторы, разбирающиеся в безопасности, могут наследовать конфигурации, разрешающие RC4 или использование слабых учётных данных, особенно в средах, где преемственность и совместимость с устаревшими системами имеют большое значение.
    • Эксплуатация уязвимостей: атаки Kerberoasting не являются спекулятивными; они известны, задокументированы и успешно применялись в многочисленных инцидентах взлома. После компрометации учётных данных сервисных учётных записей злоумышленники могут продвигаться по сети, повышать привилегии и получать доступ к конфиденциальным ресурсам. В учреждениях здравоохранения это может включать персональные медицинские данные, медицинские устройства Интернета вещей и критически важную инфраструктуру.
    • Нормативные последствия и вопросы доверия: Поскольку решения Microsoft глубоко интегрированы во многие критически важные инфраструктуры и корпоративные среды, ошибки в настройке безопасности по умолчанию автоматически перекладывают бремя защиты на организации, которым может не хватать опыта, ресурсов или прозрачности для выявления таких уязвимостей. Репутационный ущерб и риск ответственности значительны.

    Нормативные последствия

    • Обвинение сенатора Уайдена поднимает важные вопросы об ответственности за качество продукта , настройках безопасности по умолчанию и ответственности поставщиков . В какой степени поставщики программного обеспечения должны нести ответственность за небезопасные настройки по умолчанию?
    • Такие инструменты регулирования , как полномочия Федеральной торговой комиссии (FTC) по расследованию «недобросовестных или обманных действий и практик», могут быть применены к пренебрежению безопасностью программного обеспечения. Если Microsoft будет признана виновной, это может создать прецедент в отношении регулирования конфигураций по умолчанию, стандартов шифрования и требований к паролям в широко используемом программном обеспечении.
    • Существует также более широкий нормативный вопрос: безопасность по умолчанию против безопасности по выбору . Позиция Уайдена подразумевает, что настройки по умолчанию должны быть более безопасными, с более высокой надёжностью паролей, отказом от слабых криптографических алгоритмов и встроенными безопасными конфигурациями, а не опциональными переключателями.
  • В письме сенатора Уайдена в Федеральную торговую комиссию (FTC) подчеркивается взаимосвязь кибербезопасности, регулирования и корпоративной ответственности. Взлом Ascension — это не просто единичный инцидент; он служит примером того, как широко распространённые настройки программного обеспечения по умолчанию, слабые стандарты шифрования и совместимость с устаревшими системами могут в совокупности спровоцировать крупномасштабные атаки на критически важную инфраструктуру.

    • В письме сенатора Уайдена в Федеральную торговую комиссию (FTC) подчеркивается взаимосвязь кибербезопасности, регулирования и корпоративной ответственности. Взлом Ascension — это не просто единичный инцидент; он служит примером того, как широко распространённые настройки программного обеспечения по умолчанию, слабые стандарты шифрования и совместимость с устаревшими системами могут в совокупности спровоцировать крупномасштабные атаки на критически важную инфраструктуру.

    В то время как Microsoft начинает постепенно отказываться от небезопасных шифров и публиковать руководства, центральным вопросом остаётся вопрос о том, будут ли регуляторные механизмы требовать более быстрых изменений, обеспечивать более строгие параметры по умолчанию и привлекать поставщиков к ответственности за создание рисков. Этот вопрос заслуживает пристального внимания — не только со стороны исследователей безопасности, но и со стороны регулирующих органов, корпоративных клиентов и широкой общественности.

    Загрузка...