Rabattoffert för flera licenser
Datorsäkerhet Senator Wyden driver FTC-utredning om Microsoft gällande...

Senator Wyden driver FTC-utredning om Microsoft gällande sårbarheter i ransomware

Med Sandos år Datorsäkerhet
Översätt till:

Den amerikanske senatorn Ron Wyden har formellt uppmanat den federala handelskommissionen (FTC) att utreda Microsoft för vad han beskriver som "grov cybersäkerhetsförsummelse" efter en ransomware-attack mot vårdgivaren Ascension. Senatorns oro handlar om hur Microsofts standardkonfigurationer av programvara påstås ha utsatt kritiska infrastrukturnätverk för attacker.

Utlösaren: Uppstigningsöverträdelsen och tekniska sårbarheter

  • Översikt över händelsen: Förra året drabbades Ascension, ett stort sjukvårdssystem, av en ransomware-attack utförd av gruppen Black Basta , som drabbade nästan 5,6 miljoner individer . Intrånget omfattade datastöld och störningar i elektroniska patientjournaler.
  • Ursprunglig vektor: En entreprenör som arbetade för Ascension klickade på en skadlig länk som upptäcktes via Microsofts sökmotor Bing. Detta klick utlöste kedjereaktioner som gjorde det möjligt för angripare att utnyttja osäkra standardinställningar i Microsofts programvara.
  • Svaghet i standardprogramvaran: Enligt senatorns brev innehåller Microsofts programvara farligt osäkra standardinställningar. Ett viktigt problem är stödet för RC4-kryptering inom Kerberos-autentiseringsprotokollet. RC4 är en äldre kryptering som anses osäker enligt kryptografisk forskning. Även om den är föråldrad i många moderna system, förblev den i Microsofts fall aktiverad som standard. Detta gjorde det möjligt för angripare att använda en teknik som kallas Kerberoasting för att extrahera inloggningsuppgifter för tjänstkonton från Active Directory.

Tekniska detaljer: Kerberoasting, standardchiffer och utnyttjandesvagheter

  • Kerberoasting förklaras: I en Active Directory-miljö begär tjänstekonton med SPN (Service Principal Names) Kerberos-biljetter. Om dessa biljetter är krypterade med svaga chiffer som RC4 kan en angripare få tag på biljetten och sedan utföra offlineattacker (t.ex. brute force eller kryptanalys) för att återställa tjänstekontots klartextuppgifter eller hemligheter. I det här fallet hävdar Wydens kontor att intrånget använde dessa RC4-skyddade biljetter.
  • RC4-frågor: RC4 (Rivest Cipher 4), en strömchiffer som utvecklades i slutet av 1980-talet, har i årtionden varit känd för att ha sårbarheter – fel i nyckelströmmen och känslighet för återställning av klartext. Standardiseringsorgan (t.ex. IETF) har förbjudit dess användning i säkra kanaler, särskilt TLS, sedan mitten av 2010-talet på grund av dessa brister. Microsoft inkluderade fortfarande stöd för RC4 i Kerberos som standard, vilket Wyden menar "i onödan exponerar" kunder när svaga lösenord används.
  • Lösenordsstyrka och tjänstekonton: Senatorn betonar också att Microsoft inte tillämpar starka lösenordspolicyer (t.ex. minst 14 tecken, slumpmässigt genererade lösenord) för tjänstekonton, och inte heller kräver de användning av starkare krypteringschiffer (AES-128 eller AES-256) för Kerberos-tjänstbiljettkryptering när SPN:er är inblandade. Dessa svaga policyer, i kombination med svag standardkryptering, ökar risken för att autentiseringsuppgifter komprometteras.
  • Åtgärder som Microsoft rekommenderar: Som svar på Wydens brev har Microsoft publicerat riktlinjer och sagt att de planerar att fasa ut användningen av RC4. De beskrev också steg som användning av Group Managed Service Accounts (gMSA) eller Delegated Managed Service Accounts (dMSA), granskning av konton med SPN:er, uppdatering av algoritmer för ärendekryptering och inställning av starka, slumpmässigt genererade lösenord för privilegierade konton. Microsoft avslöjade vidare att nya Active Directory-domäner som använder Windows Server 2025 kommer att ha RC4 inaktiverat som standard från och med första kvartalet 2026.

    • Reglerings- och policyanklagelser

    • Senator Wydens kritik går bortom ett enskilt intrång. I sitt fyra sidor långa brev till FTC:s ordförande Andrew Ferguson framställer han Microsoft som ett systemproblem: en "kultur av försumlig cybersäkerhet" förstärkt av deras nästan monopol över företagsoperativsystem. Wyden använder skarpa metaforiska ord och kallar Microsoft för "en mordbrännare som säljer brandbekämpningstjänster till sina offer".
    • I brevet hävdas att Microsofts standardkonfigurationer (dvs. att aktivera äldre, osäker kryptering som standard, mildare lösenordspolicyer) med tiden har försvagat grundläggande skydd i många organisationer – särskilt de inom hälso- och sjukvård och kritisk infrastruktur. Antydningen är att försummelse i standardinställningar och konfiguration inte bara är en IT-fråga utan en nationell säkerhetsrisk.

    Microsofts svar

    • Ett erkännande av att RC4 är föråldrat och att Microsoft avråder från dess användning "i hur vi utvecklar vår programvara och i vår dokumentation till kunder". Företaget hävdar att mindre än 0,1 % av deras trafik fortfarande använder RC4. Microsoft uttrycker dock också oro för att en fullständig och omedelbart inaktivering av RC4 kan orsaka kompatibilitetsproblem med befintliga miljöer.
  • Microsoft har åtagit sig att gradvis eliminera RC4-stöd, samtidigt som de fortsätter att ge tydliga varningar och vägledning till kunder. Dessutom noterar Microsoft att nya AD-domäner i Windows Server 2025 som standard kommer att inaktivera RC4-kryptering.

    • Säkerhetsriskbedömning

    • Attackyta och kaskadkonsekvenser: När programvaruleverantörer tillåter svag kryptering som standard eller svaga lösenordspolicyer ger de angripare ett "enkelt val". Även systemadministratörer som är säkerhetsmedvetna kan ärva konfigurationer som tillåter RC4 eller svaga autentiseringsuppgifter, särskilt i miljöer där kontinuitet och äldre kompatibilitet värderas högt.
    • Sårbarhetsutnyttjande: Kerberoasting-attacker är inte spekulativa; de är kända, dokumenterade och har använts framgångsrikt vid flera intrångsincidenter. När tjänstkontouppgifter har komprometterats kan angripare röra sig i sidled, eskalera privilegier och få åtkomst till känsliga tillgångar. Inom hälso- och sjukvårdsmiljöer kan det inkludera personliga hälsodata, medicinska enheter för sakernas internet och kritisk infrastruktur.
    • Konsekvenser för reglering och förtroende: Eftersom Microsoft är djupt inbäddat i många kritiska infrastruktur- och företagsmiljöer, flyttar misslyckanden med att konfigurera säkerhet som standard automatiskt bördan av försvaret till organisationer som kan sakna expertis, resurser eller insyn för att upptäcka sådana svagheter. Anseendeskadorna och ansvarsrisken är betydande.

    Regulatoriska konsekvenser

    • Senator Wydens anklagelse väcker viktiga frågor om produktansvar , standardinställningar för säkerhet och leverantörsansvar . I vilken utsträckning bör programvaruleverantörer hållas ansvariga för osäkra standardinställningar?
    • Reglerande verktyg som FTC:s befogenhet att utreda "otillbörliga eller vilseledande handlingar eller metoder" kan tillämpas på försummelse av programvarusäkerhet. Om Microsoft befinns försumligt kan detta skapa ett prejudikat för hur standardkonfigurationer, krypteringsstandarder och lösenordskrav regleras i allmänt använd programvara.
    • Det finns också en bredare normativ fråga: säkert som standard kontra säkert som tillval . Wydens ståndpunkt antyder att standardinställningarna bör vara mer säkerhetsmässigt riktade, med högre lösenordsstyrka, avskaffande av svaga kryptografiska algoritmer och inbyggda säkra konfigurationer – inte som valfria växlar.
  • Senator Wydens brev till FTC belyser en sammanflätning av cybersäkerhet, reglering och företagsansvar. Ascension-intrånget är mer än en enda incident; det fungerar som en fallstudie i hur allmänt använda programvarustandarder, svaga krypteringsstandarder och äldre kompatibilitet kan kombineras för att utlösa storskaliga attacker mot kritisk infrastruktur.

    • Senator Wydens brev till FTC belyser en sammanflätning av cybersäkerhet, reglering och företagsansvar. Ascension-intrånget är mer än en enda incident; det fungerar som en fallstudie i hur allmänt använda programvarustandarder, svaga krypteringsstandarder och äldre kompatibilitet kan kombineras för att utlösa storskaliga attacker mot kritisk infrastruktur.

    I takt med att Microsoft börjar fasa ut osäkra chiffer och publicera riktlinjer kvarstår den centrala frågan om regleringsmekanismer kommer att kräva snabbare förändringar, genomdriva bättre standardinställningar och hålla leverantörer ansvariga för att möjliggöra risker. Denna fråga förtjänar noggrann granskning – inte bara från säkerhetsforskare, utan även från tillsynsmyndigheter, företagskunder och allmänheten i stort.

    Läser in...