Popust za več licenc
Računalniška varnost Senator Wyden spodbuja preiskavo FTC proti Microsoftu...

Senator Wyden spodbuja preiskavo FTC proti Microsoftu zaradi ranljivosti izsiljevalske programske opreme

Do leta Sandos leta Računalniška varnost
Prevedi v:

Ameriški senator Ron Wyden je uradno pozval Zvezno trgovinsko komisijo (FTC), naj preišče Microsoft zaradi tega, kar opisuje kot "hudo malomarnost pri kibernetski varnosti" po napadu z izsiljevalsko programsko opremo na ponudnika zdravstvenih storitev Ascension. Senatorjeva zaskrbljenost se osredotoča na to, kako naj bi Microsoftove privzete konfiguracije programske opreme izpostavile kritična infrastrukturna omrežja napadom.

Sprožilec: Kršitev Ascension in tehnične ranljivosti

  • Pregled incidenta: Lani je bil Ascension, pomemben zdravstveni sistem, prizadet zaradi napada izsiljevalske programske opreme, ki ga je izvedla skupina, znana kot Black Basta , in je prizadel skoraj 5,6 milijona posameznikov . Kršitev je vključevala krajo podatkov in motnje v elektronskih zdravstvenih kartotekah.
  • Začetni vektor: Izvajalec, ki dela za Ascension, je kliknil na zlonamerno povezavo, ki jo je odkril Microsoftov iskalnik Bing. Ta klik je sprožil verižne reakcije, ki so napadalcem omogočile izkoriščanje nezaščitenih privzetih nastavitev v Microsoftovi programski opremi.
  • Slabost privzete programske opreme: Glede na pismo senatorja Microsoftova programska oprema vključuje nevarno nezanesljive privzete nastavitve. Ena ključnih težav je podpora za šifriranje RC4 znotraj protokola za preverjanje pristnosti Kerberos. RC4 je starejša šifra, ki jo kriptografske raziskave ocenjujejo kot nezanesljivo. Čeprav je v mnogih sodobnih sistemih opuščena, je v Microsoftovem primeru ostala privzeto omogočena. To je napadalcem omogočilo, da so s tehniko, znano kot Kerberoasting, pridobili poverilnice za storitvene račune iz imenika Active Directory.

Tehnične podrobnosti: Kerberoasting, privzete šifre in izkoriščanje slabosti

  • Razlaga Kerberoastinga: V okolju Active Directory servisni računi z glavnimi imeni storitev (SPN) zahtevajo vstopnice Kerberos. Če so te vstopnice šifrirane s šibkimi šiframi, kot je RC4, lahko napadalec pridobi vstopnico in nato izvede napade brez povezave (npr. surovo silo ali kriptoanalizo), da obnovi poverilnice ali skrivnosti servisnega računa v obliki golega besedila. V tem primeru Wydenova pisarna trdi, da je kršitev uporabila te vstopnice, zaščitene z RC4.
  • Pomembna je RC4: RC4 (Rivest Cipher 4), tokovna šifra, razvita v poznih osemdesetih letih prejšnjega stoletja, je že desetletja znana po svojih ranljivostih – pristranskostih v svojem ključnem toku in dovzetnosti za obnovitev odprtega besedila. Standardizacijski organi (npr. IETF) so zaradi teh pomanjkljivosti od sredine leta 2010 prepovedali njeno uporabo v varnih kanalih, zlasti TLS. Microsoft je v Kerberos še vedno privzeto vključil podporo za RC4, kar po Wydenovih trditvah »nepotrebno izpostavlja« stranke, ko se uporabljajo šibka gesla.
  • Moč gesel in računi storitev: Senator poudarja tudi, da Microsoft ne uveljavlja pravilnikov o močnih geselih (npr. najmanj 14 znakov, naključno ustvarjena gesla) za račune storitev, niti ne zahteva uporabe močnejših šifrirnih šifer (AES-128 ali AES-256) za šifriranje vstopnic za storitve Kerberos, kadar so vključena imena služb. Te šibke politike v kombinaciji s šibkim privzetim šifriranjem povečujejo tveganje za ogrožanje poverilnic.
  • Microsoft priporoča omilitve: V odgovor na Wydenovo pismo je Microsoft objavil smernice in sporočil, da namerava postopoma opustiti uporabo RC4. Opisal je tudi korake, kot so uporaba skupinskih upravljanih računov storitev (gMSA) ali delegiranih upravljanih računov storitev (dMSA), revidiranje računov s SPN-ji, posodabljanje algoritmov za šifriranje vstopnic in nastavitev močnih, naključno ustvarjenih gesel za privilegirane račune. Microsoft je nadalje razkril, da bo za nove domene Active Directory, ki uporabljajo Windows Server 2025, RC4 privzeto onemogočen od prvega četrtletja 2026 naprej.

    • Regulativne in politične obtožbe

    • Kritika senatorja Wydna presega posamezno kršitev. V svojem štiristranskem pismu predsedniku FTC Andrewu Fergusonu Microsoft označuje za sistemsko težavo: »kulturo malomarne kibernetske varnosti«, ki jo še povečuje skorajšnji monopol nad operacijskimi sistemi za podjetja. Wyden uporablja oster metaforični jezik in Microsoft označuje za »požigalca, ki svojim žrtvam prodaja gasilske storitve«.
    • V pismu se trdi, da so Microsoftove privzete konfiguracije (tj. omogočanje starejšega, privzeto nevarnega šifriranja in popustljive politike gesel) sčasoma oslabile osnovne zaščite v številnih organizacijah – zlasti v zdravstvu in kritični infrastrukturi. Predlaga se, da malomarnost pri privzetih nastavitvah in konfiguraciji ni le vprašanje IT, temveč tudi nacionalno varnostno vprašanje.

    Microsoftov odgovor

    • Priznanje, da je RC4 zastarel in da Microsoft odsvetuje njegovo uporabo »pri načrtovanju naše programske opreme in v naši dokumentaciji za stranke«. Podjetje trdi, da manj kot 0,1 % njegovega prometa še vedno uporablja RC4. Vendar pa Microsoft izraža tudi zaskrbljenost, da bi lahko popolna onemogočitev RC4 takoj povzročila težave z združljivostjo z obstoječimi okolji.
  • Microsoft se je zavezal k postopni odpravi podpore za RC4, hkrati pa bo strankam še naprej zagotavljal stroga opozorila in smernice. Poleg tega Microsoft ugotavlja, da bodo nove domene AD v sistemu Windows Server 2025 privzeto onemogočile šifriranje RC4.

    • Ocena varnostnega tveganja

    • Površina napada in kaskadne posledice: Ko prodajalci programske opreme privzeto dovolijo šibko šifriranje ali šibke pravilnike za gesla, napadalcem omogočajo »lahko izbiro«. Tudi sistemski skrbniki, ki se zavedajo varnosti, lahko podedujejo konfiguracije, ki dovoljujejo RC4 ali šibke poverilnice, zlasti v okoljih, kjer sta kontinuiteta in združljivost s starejšimi sistemi zelo cenjeni.
    • Izkoriščanje ranljivosti: Napadi Kerberoasting niso špekulativni; so znani, dokumentirani in so bili uspešno uporabljeni v več primerih kršitev. Ko so poverilnice storitvenega računa ogrožene, se lahko napadalci premaknejo lateralno, povečajo privilegije in dostopajo do občutljivih sredstev. V zdravstvenih ustanovah lahko to vključuje osebne zdravstvene podatke, medicinske naprave interneta stvari in kritično infrastrukturo.
    • Posledice za predpise in zaupanje: Ker je Microsoft globoko vpet v številna kritična infrastruktura in poslovna okolja, napake pri konfiguraciji varnosti samodejno prenesejo breme obrambe na organizacije, ki morda nimajo strokovnega znanja, virov ali preglednosti za odkrivanje takšnih slabosti. Škoda za ugled in tveganje odgovornosti sta precejšnja.

    Regulativne posledice

    • Trditev senatorja Wydna sproža pomembna vprašanja o odgovornosti za izdelek , privzetih varnostnih nastavitvah in odgovornosti prodajalcev . V kolikšni meri bi morali biti prodajalci programske opreme odgovorni za nezaščitene privzete nastavitve?
    • Regulativna orodja , kot je pooblastilo FTC za preiskovanje »nepoštenih ali zavajajočih dejanj ali praks«, se lahko uporabijo za malomarnost glede varnosti programske opreme. Če se ugotovi, da je Microsoft malomaren, bi to lahko postavilo precedens za to, kako so privzete konfiguracije, standardi šifriranja in zahteve glede gesel regulirane v široko uporabljeni programski opremi.
    • Obstaja tudi širše normativno vprašanje: varno po privzeti nastavitvi v primerjavi z varnim po možnosti . Wydenovo stališče pomeni, da bi morale biti privzete nastavitve na strani varnosti, z večjo močjo gesel, opustitvijo šibkih kriptografskih algoritmov in vgrajenimi varnimi konfiguracijami – ne kot neobvezna stikala.
  • Pismo senatorja Wydna Zvezni komisiji za trgovino (FTC) poudarja preplet kibernetske varnosti, regulacije in korporativne odgovornosti. Kršitev Ascension je več kot le en sam incident; služi kot študija primera, ki prikazuje, kako lahko široko uporabljene privzete nastavitve programske opreme, šibki standardi šifriranja in združljivost s starejšimi sistemi skupaj povzročijo obsežne napade na kritično infrastrukturo.

    • Pismo senatorja Wydna Zvezni komisiji za trgovino (FTC) poudarja preplet kibernetske varnosti, regulacije in korporativne odgovornosti. Kršitev Ascension je več kot le en sam incident; služi kot študija primera, ki prikazuje, kako lahko široko uporabljene privzete nastavitve programske opreme, šibki standardi šifriranja in združljivost s starejšimi sistemi skupaj povzročijo obsežne napade na kritično infrastrukturo.

    Medtem ko Microsoft začenja postopno opuščati nezaščitene šifre in objavljati smernice, ostaja osrednje vprašanje, ali bodo regulativni mehanizmi zahtevali hitrejše spremembe, uveljavljali boljše privzete nastavitve in prodajalce klicali na odgovornost za omogočanje tveganja. To vprašanje si zasluži natančno pozornost – ne le s strani varnostnih raziskovalcev, temveč tudi s strani regulatorjev, poslovnih strank in širše javnosti.

    Nalaganje...