Multilicenčná zľavová ponuka
Počítačová bezpečnosť Senátor Wyden nalieha na FTC a presadzuje vyšetrovanie...

Senátor Wyden nalieha na FTC a presadzuje vyšetrovanie spoločnosti Microsoft kvôli zraniteľnostiam ransomvéru

Do roku Sandos v roku Počítačová bezpečnosť
Preložiť do:

Americký senátor Ron Wyden formálne vyzval Federálnu obchodnú komisiu (FTC), aby vyšetrila spoločnosť Microsoft za to, čo označil za „hrubú nedbanlivosť v oblasti kybernetickej bezpečnosti“ po útoku ransomvéru na poskytovateľa zdravotnej starostlivosti Ascension. Senátorove obavy sa sústreďujú na to, ako údajne predvolené konfigurácie softvéru spoločnosti Microsoft vystavili kritické infraštruktúrne siete útokom.

Spúšťač: Narušenie systému Ascension a technické zraniteľnosti

  • Prehľad incidentu: Minulý rok bol Ascension, významný systém zdravotnej starostlivosti, zasiahnutý útokom ransomvéru, ktorý vykonala skupina známa ako Black Basta a ktorý postihol takmer 5,6 milióna jednotlivcov . Únik zahŕňal krádež údajov, ako aj narušenie elektronických zdravotných záznamov.
  • Počiatočný vektor: Dodávateľ pracujúci pre spoločnosť Ascension klikol na škodlivý odkaz objavený prostredníctvom vyhľadávača Bing od spoločnosti Microsoft. Toto kliknutie spustilo reťazovú reakciu, ktorá umožnila útočníkom zneužiť nezabezpečené predvolené nastavenia v softvéri spoločnosti Microsoft.
  • Slabosť predvoleného softvéru: Podľa listu senátora softvér od spoločnosti Microsoft obsahuje nebezpečne nezabezpečené predvolené nastavenia. Jedným z kľúčových problémov je podpora šifrovania RC4 v rámci autentifikačného protokolu Kerberos. RC4 je staršia šifra, ktorú kryptografický výskum považuje za nezabezpečenú. Hoci je v mnohých moderných systémoch zastaraná, v prípade spoločnosti Microsoft zostala štandardne povolená. To umožnilo útočníkom použiť techniku známu ako Kerberoasting na extrahovanie poverení servisných účtov zo služby Active Directory.

Technické špecifikácie: Kerberoasting, predvolené šifry a zneužiteľné slabiny

  • Vysvetlenie Kerberoastingu: V prostredí služby Active Directory si servisné účty s názvami hlavných služieb (SPN) vyžiadajú lístky Kerberos. Ak sú tieto lístky šifrované pomocou slabých šifier, ako je RC4, útočník môže získať lístok a potom vykonať offline útoky (napr. hrubou silou alebo kryptoanalýzou) na obnovenie prihlasovacích údajov alebo tajných údajov servisného účtu v otvorenom texte. V tomto prípade kancelária Wydena tvrdí, že pri útoku boli použité tieto lístky chránené šifrovaním RC4.
  • Dôležitosť RC4: RC4 (Rivest Cipher 4), prúdová šifra vyvinutá koncom 80. rokov 20. storočia, je už desaťročia známa svojimi zraniteľnosťami – skresleniami v jej kľúčovom toku a náchylnosťou na obnovu otvoreného textu. Normalizačné orgány (napr. IETF) zakázali jej používanie v zabezpečených kanáloch, najmä TLS, od polovice roku 2010 kvôli týmto nedostatkom. Spoločnosť Microsoft stále štandardne zahrňovala podporu pre RC4 v protokole Kerberos, čo podľa Wydena „zbytočne vystavuje“ zákazníkov riziku pri používaní slabých hesiel.
  • Sila hesla a servisné účty: Senátor tiež zdôrazňuje, že spoločnosť Microsoft nevynucuje silné pravidlá pre heslá (napr. minimálne 14 znakov, náhodne generované heslá) pre servisné účty, ani nevyžaduje používanie silnejších šifrovacích šifier (AES-128 alebo AES-256) pre šifrovanie servisných lístkov Kerberos, keď sú zapojené SPN. Tieto slabé pravidlá v kombinácii so slabým predvoleným šifrovaním zvyšujú riziko kompromitácie poverení.
  • Zmierňujúce opatrenia odporúčané spoločnosťou Microsoft: V reakcii na list spoločnosti Wyden spoločnosť Microsoft zverejnila usmernenia a uviedla, že plánuje postupne ukončiť používanie RC4. Taktiež načrtla kroky, ako je používanie skupinových spravovaných účtov služieb (gMSA) alebo delegovaných spravovaných účtov služieb (dMSA), audit účtov s hlavnými názvami služieb (SPN), aktualizácia algoritmov šifrovania lístkov a nastavenie silných, náhodne generovaných hesiel pre privilegované účty. Spoločnosť Microsoft ďalej oznámila, že nové domény služby Active Directory používajúce systém Windows Server 2025 budú mať od 1. štvrťroka 2026 štandardne vypnutý RC4.

    • Regulačné a politické obvinenia

    • Kritika senátora Wydena ide nad rámec ojedinelého porušenia. Vo svojom štvorstranovom liste predsedovi FTC Andrewovi Fergusonovi označuje Microsoft za systémový problém: „kultúru zanedbanej kybernetickej bezpečnosti“, ktorú umocňuje jeho takmer monopol na podnikové operačné systémy. Wyden používa ostrý metaforický jazyk a nazýva Microsoft podobným „podpaľačovi, ktorý predáva hasičské služby svojim obetiam“.
    • V liste sa tvrdí, že predvolené konfigurácie spoločnosti Microsoft (t. j. povolenie starších, nezabezpečených šifrovacích nastavení a zhovievavé pravidlá pre heslá) časom oslabili základné ochrany v mnohých organizáciách – najmä v zdravotníctve a kritickej infraštruktúre. Naznačuje sa, že nedbanlivosť v predvolených nastaveniach a konfigurácii nie je len problémom IT, ale aj problémom národnej bezpečnosti.

    Reakcia spoločnosti Microsoft

    • Uznanie, že RC4 je zastaraný a že spoločnosť Microsoft odrádza od jeho používania „v spôsobe, akým navrhujeme náš softvér a v našej dokumentácii pre zákazníkov“. Spoločnosť tvrdí, že menej ako 0,1 % jej prevádzky stále používa RC4. Spoločnosť však tiež vyjadruje obavy, že úplné vypnutie RC4 by mohlo spôsobiť problémy s kompatibilitou s existujúcimi prostrediami.
  • Spoločnosť Microsoft sa zaviazala postupne ukončiť podporu RC4 a zároveň naďalej poskytovať zákazníkom dôrazné upozornenia a pokyny. Spoločnosť Microsoft ďalej poznamenáva, že nové domény AD v systéme Windows Server 2025 štandardne vypnú šifrovanie RC4.

    • Posúdenie bezpečnostných rizík

    • Povrch útoku a kaskádové dôsledky: Keď dodávatelia softvéru štandardne povoľujú slabé šifrovanie alebo slabé pravidlá pre heslá, poskytujú útočníkom „ľahký výber“. Dokonca aj správcovia systému, ktorí si uvedomujú bezpečnosť, môžu zdediť konfigurácie, ktoré povoľujú RC4 alebo slabé prihlasovacie údaje, najmä v prostrediach, kde sa vysoko cení kontinuita a kompatibilita so staršími systémami.
    • Zneužitie zraniteľnosti: Útoky Kerberoasting nie sú špekulatívne; sú známe, zdokumentované a boli úspešne použité pri viacerých incidentoch narušenia bezpečnosti. Po ohrození prihlasovacích údajov k servisnému účtu sa útočníci môžu pohybovať laterálne, eskalovať privilégiá a pristupovať k citlivým aktívam. V zdravotníckych zariadeniach to môže zahŕňať osobné zdravotné údaje, zdravotnícke zariadenia internetu vecí a kritickú infraštruktúru.
    • Regulačné dôsledky a dôsledky pre dôveru: Keďže spoločnosť Microsoft je hlboko zakorenená v mnohých kritických infraštruktúrach a podnikových prostrediach, zlyhania v konfigurácii zabezpečenia v predvolenom nastavení automaticky presúvajú bremeno obrany na organizácie, ktorým nemusia byť dostatočné odborné znalosti, zdroje alebo prehľad na odhalenie takýchto slabých miest. Riziko poškodenia reputácie a zodpovednosti je značné.

    Regulačné dôsledky

    • Obvinenie senátora Wydena vyvoláva dôležité otázky týkajúce sa zodpovednosti za výrobok , predvolených bezpečnostných nastavení a zodpovednosti dodávateľa . Do akej miery by mali byť dodávatelia softvéru zodpovední za nezabezpečené predvolené nastavenia?
    • Regulačné nástroje , ako napríklad právomoc FTC vyšetrovať „nekalé alebo klamlivé činy alebo praktiky“, sa môžu uplatniť na zanedbanie bezpečnosti softvéru. Ak sa zistí, že spoločnosť Microsoft je nedbalá, mohlo by to vytvoriť precedens pre to, ako sa regulujú predvolené konfigurácie, šifrovacie štandardy a požiadavky na heslá v široko používanom softvéri.
    • Existuje aj širší normatívny problém: zabezpečenie podľa predvoleného nastavenia verzus zabezpečenie podľa možnosti . Wydenov postoj naznačuje, že predvolené nastavenia by mali byť na strane bezpečnosti, s vyššou silou hesla, zastarávaním slabých kryptografických algoritmov a bezpečnými konfiguráciami – nie ako voliteľné prepínače.
  • List senátora Wydena adresovaný Federálnej obchodnej komisii (FTC) zdôrazňuje súbeh kybernetickej bezpečnosti, regulácie a korporátnej zodpovednosti. Narušenie zabezpečenia Ascension je viac než len jeden incident; slúži ako prípadová štúdia toho, ako sa široko používané softvérové predvolené nastavenia, slabé šifrovacie štandardy a kompatibilita so staršími systémami môžu spojiť a viesť k rozsiahlym útokom na kritickú infraštruktúru.

    • List senátora Wydena adresovaný Federálnej obchodnej komisii (FTC) zdôrazňuje súbeh kybernetickej bezpečnosti, regulácie a korporátnej zodpovednosti. Narušenie zabezpečenia Ascension je viac než len jeden incident; slúži ako prípadová štúdia toho, ako sa široko používané softvérové predvolené nastavenia, slabé šifrovacie štandardy a kompatibilita so staršími systémami môžu spojiť a viesť k rozsiahlym útokom na kritickú infraštruktúru.

    Keďže spoločnosť Microsoft začína postupne rušiť nezabezpečené šifry a publikovať usmernenia, ústrednou otázkou zostáva, či regulačné mechanizmy budú vyžadovať rýchlejšie zmeny, presadzovať lepšie predvolené hodnoty a brať dodávateľov na zodpovednosť za umožnenie rizika. Táto záležitosť si zaslúži dôkladné preskúmanie – nielen zo strany bezpečnostných výskumníkov, ale aj zo strany regulačných orgánov, podnikových zákazníkov a širokej verejnosti.

    Načítava...