Попуст за више лиценци
Цомпутер Сецурити Сенатор Вајден покреће истрагу Федералне трговинске...

Сенатор Вајден покреће истрагу Федералне трговинске комисије (FTC) против Мајкрософта због рањивости у вези са ransomware-ом

До Sandos. у Цомпутер Сецурити
Преведи на:

Амерички сенатор Рон Вајден је званично позвао Федералну трговинску комисију (FTC) да истражи Мајкрософт због онога што он описује као „груби немар у сајбер безбедности“ након напада ransomware-а на здравственог радника Ascension. Сенаторова забринутост је усредсређена на то како су подразумеване конфигурације софтвера Мајкрософта наводно изложиле критичне инфраструктурне мреже нападима.

Окидач: Кршење система Ascension и техничке рањивости

  • Преглед инцидента: Прошле године, Ascension, велики здравствени систем, био је погођен нападом ransomware-а који је извршила група позната као Black Basta , а који је погодио скоро 5,6 милиона појединаца . Пробој је укључивао крађу података, као и поремећај електронских здравствених картона.
  • Почетни вектор: Извођач радова који ради за Ascension кликнуо је на злонамерни линк откривен путем Мајкрософтовог претраживача Bing. Овај клик је покренуо ланчане реакције које су омогућиле нападачима да искористе небезбедна подразумевана подешавања у Мајкрософтовом софтверу.
  • Слабост подразумеваног софтвера: Према писму сенатора, Мајкрософтов софтвер укључује опасно небезбедна подразумевана подешавања. Један од кључних проблема је подршка за RC4 енкрипцију унутар Kerberos протокола за аутентификацију. RC4 је застарела шифра коју криптографска истраживања сматрају небезбедном. Иако је застарела у многим модерним системима, у Мајкрософтовом случају је остала подразумевано омогућена. Ово је омогућило нападачима да користе технику познату као Kerberoasting за издвајање акредитива сервисних налога из Active Directory-ја.

Техничке спецификације: Кербероастирање, подразумеване шифре и експлоатабилне слабости

  • Објашњење Kerberoasting-а: У окружењу Active Directory-ја, сервисни налози са Service Principal Names (SPN) захтевају Kerberos тикете. Ако су ти тикети шифровани помоћу слабих шифара као што је RC4, нападач може да добије тикет, а затим изврши офлајн нападе (нпр. грубу силу или криптоанализу) како би повратио акредитиве или тајне сервисног налога у отвореном тексту. У овом случају, Вајденова канцеларија тврди да је до кршења дошло користећи ове RC4-заштићене тикете.
  • RC4 је важан: RC4 (Rivest Cipher 4), ток шифре развијене крајем 1980-их, деценијама је позната по својим рањивостима – пристрасностима у свом току кључева и подложности опоравку отвореног текста. Тела за стандардизацију (нпр. IETF) су забранила њену употребу у безбедним каналима, посебно TLS-у, од средине 2010-их због тих недостатака. Мајкрософт је и даље подразумевано укључио подршку за RC4 у Керберос, за који Вајден тврди да „непотребно излаже“ кориснике када се користе слабе лозинке.
  • Јачина лозинке и сервисни налози: Сенатор такође истиче да Мајкрософт не спроводи политике јаких лозинки (нпр. минимум 14 знакова, насумично генерисане лозинке) за сервисне налоге, нити захтева употребу јачих шифара за шифровање (AES-128 или AES-256) за шифровање Kerberos сервисних тикета када су укључени SPN-ови. Ове слабе политике, у комбинацији са слабом подразумеваном енкрипцијом, повећавају ризик од угрожавања акредитива.
  • Мере ублажавања које Мајкрософт препоручује: Као одговор на Вајденово писмо, Мајкрософт је објавио смернице и рекао да планира да постепено укине употребу RC4. Такође је навео кораке као што су коришћење групних управљаних сервисних налога (gMSA) или делегираних управљаних сервисних налога (dMSA), ревизија налога са SPN-овима, ажурирање алгоритама за шифровање тикета и постављање јаких, насумично генерисаних лозинки за привилеговане налоге. Мајкрософт је даље открио да ће нови домени Active Directory-ја који користе Windows Server 2025 имати RC4 подразумевано онемогућен почев од првог квартала 2026. године.

    • Регулаторне и политичке оптужбе

    • Критика сенатора Вајдена иде даље од појединачног кршења закона. У свом писму од четири странице упућеном председнику Федералне трговинске комисије Ендруу Фергусону, он описује Мајкрософт као компанију са системским проблемом: „културу немарне сајбер безбедности“ појачану готово монополом над оперативним системима предузећа. Вајден користи оштар метафорички језик, називајући Мајкрософт сличним „паликући који продаје услуге гашења пожара својим жртвама“.
    • У писму се тврди да су подразумеване конфигурације компаније Microsoft (тј. омогућавање застарелог, небезбедног подразумеваног шифровања, благе политике лозинки) временом ослабиле основне заштите у многим организацијама — посебно онима у здравству и критичној инфраструктури. Сугестија је да немар у подразумеваним подешавањима и конфигурацији није само ИТ проблем већ и проблем националне безбедности.

    Мајкрософтов одговор

    • Признање да је RC4 застарео и да Мајкрософт не обесхрабрује његову употребу „у начину на који пројектујемо наш софтвер и у нашој документацији за купце“. Компанија тврди да мање од 0,1% њеног саобраћаја и даље користи RC4. Међутим, Мајкрософт такође изражава забринутост да би потпуно онемогућавање RC4 могло одмах изазвати проблеме са компатибилношћу са постојећим окружењима.
  • Мајкрософт се обавезао да ће постепено укинути подршку за RC4, уз континуирано пружање јасних упозорења и смерница корисницима. Поред тога, Мајкрософт напомиње да ће нови AD домени у Windows Server 2025, подразумевано, онемогућити RC4 енкрипцију.

    • Процена безбедносног ризика

    • Површина напада и каскадне последице: Када произвођачи софтвера подразумевано дозвољавају слабо шифровање или слабе политике лозинки, они пружају „лак избор“ нападачима. Чак и систем администратори који су свесни безбедности могу наследити конфигурације које дозвољавају RC4 или дозвољавају слабе акредитиве, посебно у окружењима где се континуитет и компатибилност са наслеђеним системима веома цене.
    • Искоришћавање рањивости: Напади Kerberoasting-ом нису спекулативни; познати су, документовани и успешно су коришћени у вишеструким инцидентима кршења безбедности. Када се акредитиви сервисног налога угрозе, нападачи могу да се крећу латерално, ескалирају привилегије и приступају осетљивој имовини. У здравственим установама, то може да укључује личне здравствене податке, медицинске уређаје IoT-а и критичну инфраструктуру.
    • Регулаторне и поверљиве импликације: Пошто је Мајкрософт дубоко укорењен у многим критичним инфраструктурним и пословним окружењима, неуспеси у конфигурисању безбедности по подразумеваним подешавањима аутоматски пребацују терет одбране на организације којима можда недостаје стручност, ресурси или видљивост за откривање таквих слабости. Штета по репутацију и ризик од одговорности су значајни.

    Регулаторне импликације

    • Тврдња сенатора Вајдена покреће важна питања о одговорности за производ , подразумеваним безбедносним подешавањима и одговорности добављача . У којој мери би добављачи софтвера требало да буду одговорни за небезбедна подразумевана подешавања?
    • Регулаторни алати попут овлашћења Федералне трговинске комисије (FTC) да истражује „непоштене или обмањујуће радње или праксе“ могу се применити на занемаривање безбедности софтвера. Ако се утврди да је Мајкрософт нехатан, ово би могло да постави преседан за начин на који се подразумеване конфигурације, стандарди шифровања и захтеви за лозинкама регулишу у широко коришћеном софтверу.
    • Постоји и шире нормативно питање: безбедност по подразумеваним подешавањима наспрам безбедности по опцији . Вајденов став имплицира да подразумеване вредности треба да буду на страни безбедности, са већом јачином лозинки, застаревањем слабих криптографских алгоритама и уграђеним безбедним конфигурацијама – а не као опционим прекидачима.
  • Писмо сенатора Вајдена упућено Федералној трговинској комисији (FTC) истиче преплитање сајбер безбедности, регулативе и корпоративне одговорности. Кршење Ascension-а је више од једног инцидента; оно служи као студија случаја о томе како се широко коришћене софтверске грешке, слаби стандарди шифровања и компатибилност са наслеђеним системима могу комбиновати и изазвати нападе великих размера на критичну инфраструктуру.

    • Писмо сенатора Вајдена упућено Федералној трговинској комисији (FTC) истиче преплитање сајбер безбедности, регулативе и корпоративне одговорности. Кршење Ascension-а је више од једног инцидента; оно служи као студија случаја о томе како се широко коришћене софтверске грешке, слаби стандарди шифровања и компатибилност са наслеђеним системима могу комбиновати и изазвати нападе великих размера на критичну инфраструктуру.

    Како Мајкрософт почиње да постепено укида небезбедне шифре и објављује смернице, централно питање остаје да ли ће регулаторни механизми захтевати брже промене, спроводити боље подразумеване вредности и сматрати добављаче одговорним за омогућавање ризика. Ово питање заслужује пажљиву пажњу – не само од стране истраживача безбедности, већ и од стране регулатора, пословних корисника и широке јавности.

    Учитавање...