Kuota e zbritjes me shumë licencë
Siguria kompjuterike Senatori Wyden nxit hetimin e FTC-së ndaj Microsoft-it...

Senatori Wyden nxit hetimin e FTC-së ndaj Microsoft-it për dobësitë e Ransomware-it

Nga SandosSiguria kompjuterike
Përkthe në:

Senatori amerikan Ron Wyden i ka bërë zyrtarisht thirrje Komisionit Federal të Tregtisë (FTC) që të hetojë Microsoft për atë që ai e përshkruan si "neglizhencë të rëndë të sigurisë kibernetike" pas një sulmi me ransomware ndaj ofruesit të kujdesit shëndetësor Ascension. Shqetësimi i senatorit përqendrohet në mënyrën se si konfigurimet e parazgjedhura të softuerit të Microsoft dyshohet se i ekspozuan rrjetet e infrastrukturës kritike ndaj sulmeve.

Shkaktari: Shkelja e Ngritjes dhe Dobësitë Teknike

  • Përmbledhje e Incidentit: Vitin e kaluar, Ascension, një sistem i madh shëndetësor, u godit nga një sulm ransomware i kryer nga grupi i njohur si Black Basta , duke prekur gati 5.6 milionë individë . Shkelja përfshinte vjedhjen e të dhënave, si dhe ndërprerjen e të dhënave elektronike shëndetësore.
  • Vektori fillestar: Një kontraktor që punonte për Ascension klikoi në një lidhje dashakeqe të zbuluar nëpërmjet motorit të kërkimit Bing të Microsoft. Ky klikim shkaktoi reaksione zinxhir që u lejuan sulmuesve të shfrytëzonin parazgjedhjet e pasigurta në softuerin e Microsoft.
  • Dobësia e Softuerit Parazgjedhur: Sipas letrës së Senatorit, softueri i Microsoft përfshin cilësime parazgjedhur të pasigurta në mënyrë të rrezikshme. Një problem kyç është mbështetja për enkriptimin RC4 brenda protokollit të vërtetimit Kerberos. RC4 është një kod i trashëguar që konsiderohet i pasigurt nga kërkimet kriptografike. Megjithëse i vjetruar në shumë sisteme moderne, në rastin e Microsoft-it ai mbeti i aktivizuar si parazgjedhje. Kjo u lejoi sulmuesve të përdorin një teknikë të njohur si Kerberoasting për të nxjerrë kredencialet e llogarisë së shërbimit nga Active Directory.

Specifikimet Teknike: Kerberoasting, Shifrat Parazgjedhëse dhe Dobësitë e Shfrytëzueshme

  • Shpjegimi i Kerberoasting: Në një mjedis të Active Directory, llogaritë e shërbimit me Emra Kryesorë të Shërbimeve (SPN) kërkojnë bileta Kerberos. Nëse këto bileta janë të enkriptuara duke përdorur shifra të dobëta si RC4, një sulmues mund ta marrë biletën dhe më pas të kryejë sulme jashtë linje (p.sh., forcë brutale ose kriptoanalizë) për të rikuperuar kredencialet ose sekretet e thjeshta të llogarisë së shërbimit. Në këtë rast, zyra e Wyden pretendon se shkelja përdori këto bileta të mbrojtura nga RC4.
  • RC4 ka rëndësi: RC4 (Rivest Cipher 4), një kod rrjedhe i zhvilluar në fund të viteve 1980, është njohur për dekada të tëra për dobësitë e tij - paragjykime në rrjedhën e tij të çelësave dhe ndjeshmëri ndaj rikuperimit të tekstit të thjeshtë. Organet e standardeve (p.sh., IETF) e kanë ndaluar përdorimin e tij në kanale të sigurta, veçanërisht TLS, që nga mesi i viteve 2010 për shkak të këtyre të metave. Microsoft vazhdoi të përfshinte mbështetje për RC4 në Kerberos si parazgjedhje, të cilën Wyden pohon se "i ekspozon pa nevojë" klientët kur përdoren fjalëkalime të dobëta.
  • Fuqia e Fjalëkalimit dhe Llogaritë e Shërbimit: Senatori thekson gjithashtu se Microsoft nuk zbaton politika të forta fjalëkalimesh (p.sh., minimumi 14 karaktere, fjalëkalime të gjeneruara rastësisht) për llogaritë e shërbimit, as nuk kërkon përdorimin e shifrave më të forta të enkriptimit (AES-128 ose AES-256) për enkriptimin e biletave të shërbimit Kerberos kur përfshihen SPN-të. Këto politika të dobëta, të kombinuara me enkriptimin e dobët të parazgjedhur, e zmadhojnë rrezikun e kompromentimit të kredencialeve.
  • Zbutjet që rekomandon Microsoft: Në përgjigje të letrës së Wyden, Microsoft ka publikuar udhëzime dhe tha se planifikon të heqë gradualisht përdorimin e RC4. Ai gjithashtu përshkroi hapa të tillë si përdorimi i Llogarive të Shërbimeve të Menaxhuara në Grup (gMSA) ose Llogarive të Shërbimeve të Menaxhuara të Deleguara (dMSA), auditimi i llogarive me SPN, përditësimi i algoritmeve të enkriptimit të biletave dhe vendosja e fjalëkalimeve të forta, të gjeneruara rastësisht për llogaritë e privilegjuara. Microsoft zbuloi më tej se domenet e reja të Active Directory që përdorin Windows Server 2025 do ta kenë RC4 të çaktivizuar si parazgjedhje duke filluar nga tremujori i parë i vitit 2026.

    • Akuza rregullatore dhe të politikave

    • Kritika e senatorit Wyden shkon përtej një shkeljeje të vetme. Në letrën e tij katërfaqëshe drejtuar Kryetarit të FTC-së, Andrew Ferguson, ai e paraqet Microsoft-in si një problem sistemik: një “kulturë të sigurisë kibernetike neglizhente” të shtuar nga monopoli i saj pothuajse mbi sistemet operative të ndërmarrjeve. Wyden përdor gjuhë të mprehtë metaforike, duke e quajtur Microsoft-in të ngjashëm me “një zjarrvënës që u shet shërbime zjarrfikëse viktimave të tij”.
    • Letra pohon se konfigurimet e parazgjedhura të Microsoft-it (domethënë, aktivizimi i kodimit të trashëguar, i pasigurt si parazgjedhje, politikat e buta të fjalëkalimeve) me kalimin e kohës kanë dobësuar mbrojtjet bazë në shumë organizata - veçanërisht ato në kujdesin shëndetësor dhe infrastrukturën kritike. Sugjerimi është se neglizhenca në parazgjedhjet dhe konfigurimin nuk është vetëm një çështje e IT-së, por një shqetësim për sigurinë kombëtare.

    Përgjigja e Microsoft-it

    • Pranim se RC4 është i vjetëruar dhe se Microsoft dekurajon përdorimin e tij "në mënyrën se si e projektojmë softuerin tonë dhe në dokumentacionin tonë për klientët". Kompania pretendon se më pak se 0.1% e trafikut të saj ende përdor RC4. Megjithatë, Microsoft shpreh gjithashtu shqetësim se çaktivizimi i plotë i menjëhershëm i RC4 mund të shkaktojë probleme të pajtueshmërisë me mjediset ekzistuese.
  • Microsoft është zotuar të eliminojë gradualisht mbështetjen për RC4, ndërkohë që vazhdon të ofrojë paralajmërime dhe udhëzime të forta për klientët. Përveç kësaj, Microsoft vëren se domenet e reja AD në Windows Server 2025, si parazgjedhje, do të çaktivizojnë enkriptimin RC4.

    • Vlerësimi i Rrezikut të Sigurisë

    • Sipërfaqja e Sulmit dhe Pasojat Kaskaduese: Kur shitësit e softuerëve lejojnë enkriptim të dobët si parazgjedhje ose politika të dobëta fjalëkalimesh, ata u ofrojnë sulmuesve një "zgjedhje të lehtë". Edhe administratorët e sistemit që janë të vetëdijshëm për sigurinë mund të trashëgojnë konfigurime që lejojnë RC4 ose të lejojnë kredenciale të dobëta, veçanërisht në mjedise ku vazhdimësia dhe përputhshmëria e trashëguar vlerësohen shumë.
    • Shfrytëzimi i cenueshmërisë: Sulmet Kerberoasting nuk janë spekulative; ato janë të njohura, të dokumentuara dhe janë përdorur me sukses në incidente të shumta shkeljesh. Pasi kredencialet e llogarisë së shërbimit kompromentohen, sulmuesit mund të lëvizin anash, të përshkallëzojnë privilegjet dhe të qasen në asete të ndjeshme. Në mjediset e kujdesit shëndetësor, kjo mund të përfshijë të dhëna personale shëndetësore, pajisje mjekësore IoT dhe infrastrukturë kritike.
    • Implikimet Rregullatore dhe të Besimit: Meqenëse Microsoft është thellësisht i ngulitur në shumë mjedise kritike të infrastrukturës dhe ndërmarrjeve, dështimet në konfigurimin e sigurisë si parazgjedhje e zhvendosin automatikisht barrën e mbrojtjes te organizatat që mund të kenë mungesë ekspertize, burimesh ose dukshmërie për të zbuluar dobësi të tilla. Dëmtimi i reputacionit dhe rreziku i përgjegjësisë janë të konsiderueshëm.

    Implikimet Rregullatore

    • Akuza e senatorit Wyden ngre pyetje të rëndësishme në lidhje me përgjegjësinë e produktit , cilësimet e sigurta të parazgjedhura dhe përgjegjësinë e shitësit . Deri në ç'masë duhet të mbahen përgjegjës shitësit e softuerëve për parazgjedhjet e pasigurta?
    • Mjetet rregullatore , si autoriteti i FTC-së për të hetuar "akte ose praktika të padrejta ose mashtruese", mund të zbatohen për neglizhencën e sigurisë së softuerëve. Nëse Microsoft gjendet neglizhent, kjo mund të krijojë një precedent për mënyrën se si rregullohen konfigurimet e parazgjedhura, standardet e enkriptimit dhe kërkesat për fjalëkalim në softuerët e përdorur gjerësisht.
    • Ekziston gjithashtu një çështje normative më e gjerë: i sigurt sipas parazgjedhjes kundrejt i sigurt sipas opsionit . Pozicioni i Wyden nënkupton që parazgjedhjet duhet të jenë në anën e sigurisë, me një forcë më të lartë fjalëkalimi, zhvlerësim të algoritmeve të dobëta kriptografike dhe konfigurime të sigurta të integruara - jo si butona opsionalë.
  • Letra e senatorit Wyden drejtuar FTC-së nxjerr në pah një ndërthurje të sigurisë kibernetike, rregullimit dhe llogaridhënies korporative. Shkelja e sigurisë në Ascension është më shumë se një incident i vetëm; ajo shërben si një studim rasti se si parazgjedhjet e softuerëve të përdorur gjerësisht, standardet e dobëta të enkriptimit dhe përputhshmëria e trashëguar mund të kombinohen për të nxitur sulme në shkallë të gjerë mbi infrastrukturën kritike.

    • Letra e senatorit Wyden drejtuar FTC-së nxjerr në pah një ndërthurje të sigurisë kibernetike, rregullimit dhe llogaridhënies korporative. Shkelja e sigurisë në Ascension është më shumë se një incident i vetëm; ajo shërben si një studim rasti se si parazgjedhjet e softuerëve të përdorur gjerësisht, standardet e dobëta të enkriptimit dhe përputhshmëria e trashëguar mund të kombinohen për të nxitur sulme në shkallë të gjerë mbi infrastrukturën kritike.

    Ndërsa Microsoft fillon të heqë gradualisht shifrat e pasigurta dhe të publikojë udhëzime, pyetja qendrore mbetet nëse mekanizmat rregullatorë do të kërkojnë ndryshime më të shpejta, do të zbatojnë standarde më të mira dhe do t'i mbajnë shitësit përgjegjës për mundësimin e rrezikut. Kjo çështje meriton një shqyrtim të kujdesshëm - jo vetëm nga studiuesit e sigurisë, por edhe nga rregullatorët, klientët e ndërmarrjeve dhe publiku i gjerë.

    Po ngarkohet...