రాన్సమ్‌వేర్ దుర్బలత్వాలపై మైక్రోసాఫ్ట్‌పై సెనేటర్ వైడెన్ FTC దర్యాప్తును ముందుకు తెచ్చారు

దీనికి అనువదించండి:

హెల్త్‌కేర్ ప్రొవైడర్ అసెన్షన్‌పై రాన్సమ్‌వేర్ దాడి తర్వాత మైక్రోసాఫ్ట్‌ను "స్థూల సైబర్ భద్రతా నిర్లక్ష్యం"గా అభివర్ణించినందుకు దర్యాప్తు చేయాలని US సెనేటర్ రాన్ వైడెన్ అధికారికంగా ఫెడరల్ ట్రేడ్ కమిషన్ (FTC)ని కోరారు. మైక్రోసాఫ్ట్ యొక్క డిఫాల్ట్ సాఫ్ట్‌వేర్ కాన్ఫిగరేషన్‌లు కీలకమైన మౌలిక సదుపాయాల నెట్‌వర్క్‌లను దాడికి ఎలా గురిచేశాయనే దానిపై సెనేటర్ ఆందోళన చెందుతున్నారు.

విషయ సూచిక

ట్రిగ్గర్: అసెన్షన్ ఉల్లంఘన మరియు సాంకేతిక దుర్బలత్వాలు

సంఘటన అవలోకనం: గత సంవత్సరం, ప్రధాన ఆరోగ్య సంరక్షణ వ్యవస్థ అయిన అసెన్షన్, బ్లాక్ బస్టా అని పిలువబడే సమూహం నిర్వహించిన రాన్సమ్‌వేర్ దాడికి గురైంది, ఇది దాదాపు 5.6 మిలియన్ల మంది వ్యక్తులను ప్రభావితం చేసింది. ఈ ఉల్లంఘనలో డేటా దొంగతనం, అలాగే ఎలక్ట్రానిక్ హెల్త్ రికార్డులకు అంతరాయం కలిగింది.
ప్రారంభ వెక్టర్: అసెన్షన్ కోసం పనిచేస్తున్న ఒక కాంట్రాక్టర్ మైక్రోసాఫ్ట్ యొక్క బింగ్ సెర్చ్ ఇంజిన్ ద్వారా కనుగొనబడిన హానికరమైన లింక్‌పై క్లిక్ చేశాడు. ఈ క్లిక్ దాడి చేసేవారు మైక్రోసాఫ్ట్ సాఫ్ట్‌వేర్‌లోని అసురక్షిత డిఫాల్ట్‌లను దోపిడీ చేయడానికి అనుమతించే గొలుసు ప్రతిచర్యలకు దారితీసింది.
డిఫాల్ట్ సాఫ్ట్‌వేర్ బలహీనత: సెనేటర్ లేఖ ప్రకారం, మైక్రోసాఫ్ట్ సాఫ్ట్‌వేర్ ప్రమాదకరమైన అసురక్షిత డిఫాల్ట్ సెట్టింగ్‌లను కలిగి ఉంది. కెర్బెరోస్ ప్రామాణీకరణ ప్రోటోకాల్‌లోని RC4 ఎన్‌క్రిప్షన్‌కు మద్దతు ఒక ముఖ్యమైన సమస్య. RC4 అనేది క్రిప్టోగ్రాఫిక్ పరిశోధన ద్వారా అసురక్షితంగా భావించే లెగసీ సైఫర్. అనేక ఆధునిక వ్యవస్థలలో ఇది నిలిపివేయబడినప్పటికీ, మైక్రోసాఫ్ట్ విషయంలో ఇది డిఫాల్ట్‌గా ప్రారంభించబడింది. ఇది దాడి చేసేవారు యాక్టివ్ డైరెక్టరీ నుండి సేవా ఖాతా ఆధారాలను సంగ్రహించడానికి కెర్బెరోస్టింగ్ అని పిలువబడే సాంకేతికతను ఉపయోగించడానికి అనుమతించింది.

సాంకేతిక వివరాలు: కెర్బరోస్టింగ్, డిఫాల్ట్ సైఫర్‌లు మరియు దోపిడీకి గురయ్యే బలహీనతలు

కెర్బెరోస్టింగ్ వివరణ: యాక్టివ్ డైరెక్టరీ వాతావరణంలో, సర్వీస్ ప్రిన్సిపల్ నేమ్స్ (SPNలు) ఉన్న సర్వీస్ ఖాతాలు కెర్బెరోస్ టిక్కెట్లను అభ్యర్థిస్తాయి. ఆ టిక్కెట్లు RC4 వంటి బలహీనమైన సైఫర్‌లను ఉపయోగించి ఎన్‌క్రిప్ట్ చేయబడితే, దాడి చేసే వ్యక్తి టికెట్‌ను పొందవచ్చు, ఆపై సర్వీస్ ఖాతా యొక్క సాదా టెక్స్ట్ ఆధారాలు లేదా రహస్యాలను తిరిగి పొందడానికి ఆఫ్‌లైన్ దాడులను (ఉదా., బ్రూట్ ఫోర్స్ లేదా క్రిప్టానాలసిస్) చేయవచ్చు. ఈ సందర్భంలో, వైడెన్ కార్యాలయం ఉల్లంఘన ఈ RC4-రక్షిత టిక్కెట్లను ఉపయోగించిందని పేర్కొంది.

RC4 విషయాలు: 1980ల చివరలో అభివృద్ధి చేయబడిన స్ట్రీమ్ సైఫర్ అయిన RC4 (రివెస్ట్ సైఫర్ 4), దశాబ్దాలుగా దుర్బలత్వాలను కలిగి ఉందని తెలిసింది - దాని కీస్ట్రీమ్‌లో పక్షపాతం మరియు సాదా టెక్స్ట్ రికవరీకి గ్రహణశీలత. ఆ లోపాల కారణంగా 2010ల మధ్యకాలం నుండి సురక్షిత ఛానెల్‌లలో, ముఖ్యంగా TLSలో దాని వినియోగాన్ని ప్రామాణిక సంస్థలు (ఉదా. IETF) నిషేధించాయి. మైక్రోసాఫ్ట్ ఇప్పటికీ డిఫాల్ట్‌గా కెర్బెరోస్‌లో RC4కి మద్దతును చేర్చింది, బలహీనమైన పాస్‌వర్డ్‌లు ఉపయోగంలో ఉన్నప్పుడు వైడెన్ కస్టమర్‌లను "అనవసరంగా బహిర్గతం చేస్తుంది" అని పేర్కొంది.

పాస్‌వర్డ్ బలం & సర్వీస్ ఖాతాలు: మైక్రోసాఫ్ట్ సర్వీస్ ఖాతాల కోసం బలమైన పాస్‌వర్డ్ విధానాలను (ఉదా., 14-అక్షరాల కనిష్టాలు, యాదృచ్ఛికంగా రూపొందించబడిన పాస్‌వర్డ్‌లు) అమలు చేయదని, అలాగే SPNలు పాల్గొన్నప్పుడు కెర్బెరోస్ సర్వీస్ టికెట్ ఎన్‌క్రిప్షన్ కోసం బలమైన ఎన్‌క్రిప్షన్ సైఫర్‌లను (AES-128 లేదా AES-256) ఉపయోగించాల్సిన అవసరం లేదని సెనేటర్ హైలైట్ చేశారు. ఈ బలహీనమైన విధానాలు, బలహీనమైన డిఫాల్ట్ ఎన్‌క్రిప్షన్‌తో కలిపి, క్రెడెన్షియల్ రాజీ ప్రమాదాన్ని పెంచుతాయి.

మైక్రోసాఫ్ట్ సిఫార్సులు: వైడెన్ లేఖకు ప్రతిస్పందనగా, మైక్రోసాఫ్ట్ మార్గదర్శకాలను ప్రచురించింది మరియు RC4 వినియోగాన్ని దశలవారీగా తొలగించాలని యోచిస్తున్నట్లు తెలిపింది. గ్రూప్ మేనేజ్డ్ సర్వీస్ అకౌంట్స్ (gMSA) లేదా డెలిగేటెడ్ మేనేజ్డ్ సర్వీస్ అకౌంట్స్ (dMSA) వాడకం, SPNలతో ఖాతాల ఆడిటింగ్, టికెట్ ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను నవీకరించడం మరియు ప్రివిలేజ్డ్ ఖాతాల కోసం బలమైన, యాదృచ్ఛికంగా రూపొందించబడిన పాస్‌వర్డ్‌లను సెట్ చేయడం వంటి దశలను కూడా ఇది వివరించింది. విండోస్ సర్వర్ 2025ని ఉపయోగించే కొత్త యాక్టివ్ డైరెక్టరీ డొమైన్‌లు 2026 మొదటి త్రైమాసికం నుండి డిఫాల్ట్‌గా RC4ని నిలిపివేస్తాయని మైక్రోసాఫ్ట్ వెల్లడించింది.

నియంత్రణ మరియు విధాన ఆరోపణలు

సెనేటర్ వైడెన్ విమర్శ ఒక ఉల్లంఘనకు మించి ఉంది. FTC ఛైర్మన్ ఆండ్రూ ఫెర్గూసన్‌కు రాసిన నాలుగు పేజీల లేఖలో, అతను మైక్రోసాఫ్ట్‌ను ఒక వ్యవస్థాగత సమస్యగా చిత్రీకరించాడు: ఎంటర్‌ప్రైజ్ ఆపరేటింగ్ సిస్టమ్‌లపై దాని దాదాపు ఏకస్వామ్యం ద్వారా "నిర్లక్ష్య సైబర్ భద్రత సంస్కృతి" పెరిగింది. వైడెన్ పదునైన రూపక భాషను ఉపయోగిస్తాడు, మైక్రోసాఫ్ట్‌ను "వారి బాధితులకు అగ్నిమాపక సేవలను అమ్మే దహనకారి" లాగా పిలుస్తాడు.
మైక్రోసాఫ్ట్ యొక్క డిఫాల్ట్ కాన్ఫిగరేషన్‌లు (అంటే, లెగసీని ప్రారంభించడం, డిఫాల్ట్‌గా అసురక్షిత ఎన్‌క్రిప్షన్, సున్నితమైన పాస్‌వర్డ్ విధానాలు) కాలక్రమేణా అనేక సంస్థలలో - ముఖ్యంగా ఆరోగ్య సంరక్షణ మరియు కీలకమైన మౌలిక సదుపాయాలలో - బేస్‌లైన్ రక్షణలను బలహీనపరిచాయని లేఖ పేర్కొంది. డిఫాల్ట్‌లు మరియు కాన్ఫిగరేషన్‌లో నిర్లక్ష్యం కేవలం IT సమస్య కాదు, జాతీయ భద్రతా ఆందోళన అని సూచన.

మైక్రోసాఫ్ట్ ప్రతిస్పందన

RC4 పాతది అని, మరియు మైక్రోసాఫ్ట్ "మా సాఫ్ట్‌వేర్‌ను మేము ఎలా ఇంజినీరింగ్ చేస్తాము మరియు కస్టమర్లకు మా డాక్యుమెంటేషన్‌లో" దాని వాడకాన్ని నిరుత్సాహపరుస్తుందని అంగీకరిస్తున్నాము. కంపెనీ ట్రాఫిక్‌లో 0.1% కంటే తక్కువ ఇప్పటికీ RC4ని ఉపయోగిస్తున్నట్లు పేర్కొంది. అయితే, RC4ని వెంటనే పూర్తిగా నిలిపివేయడం వలన ఇప్పటికే ఉన్న వాతావరణాలతో అనుకూలత సమస్యలు తలెత్తవచ్చని మైక్రోసాఫ్ట్ ఆందోళన వ్యక్తం చేసింది.

మైక్రోసాఫ్ట్ వినియోగదారులకు బలమైన హెచ్చరికలు మరియు మార్గదర్శకత్వాన్ని అందిస్తూనే, RC4 మద్దతును క్రమంగా తొలగించడానికి కట్టుబడి ఉంది. అదనంగా, Windows Server 2025లోని కొత్త AD డొమైన్‌లు డిఫాల్ట్‌గా RC4 ఎన్‌క్రిప్షన్‌ను నిలిపివేస్తాయని Microsoft పేర్కొంది.

భద్రతా ప్రమాద అంచనా

దాడి ఉపరితలం మరియు క్యాస్కేడింగ్ పరిణామాలు: సాఫ్ట్‌వేర్ విక్రేతలు డిఫాల్ట్‌గా బలహీనమైన ఎన్‌క్రిప్షన్‌ను లేదా బలహీనమైన పాస్‌వర్డ్ విధానాలను అనుమతించినప్పుడు, వారు దాడి చేసేవారికి "సులభమైన ఎంపిక"ను అందిస్తారు. భద్రతా అవగాహన ఉన్న సిస్టమ్ నిర్వాహకులు కూడా RC4ని అనుమతించే లేదా బలహీనమైన ఆధారాలను అనుమతించే కాన్ఫిగరేషన్‌లను వారసత్వంగా పొందవచ్చు, ముఖ్యంగా కొనసాగింపు మరియు వారసత్వ అనుకూలత బాగా విలువైన వాతావరణాలలో.
దుర్బలత్వ దోపిడీలు: కెర్బరోస్టింగ్ దాడులు ఊహాజనితమైనవి కావు; అవి తెలిసినవి, డాక్యుమెంట్ చేయబడ్డాయి మరియు బహుళ ఉల్లంఘన సంఘటనలలో విజయవంతంగా ఉపయోగించబడ్డాయి. సేవా ఖాతా ఆధారాలు రాజీపడిన తర్వాత, దాడి చేసేవారు పక్కకు కదలవచ్చు, ప్రత్యేక హక్కులను పెంచుకోవచ్చు మరియు సున్నితమైన ఆస్తులను యాక్సెస్ చేయవచ్చు. ఆరోగ్య సంరక్షణ సెట్టింగ్‌లలో, అందులో వ్యక్తిగత ఆరోగ్య డేటా, IoT వైద్య పరికరాలు మరియు కీలకమైన మౌలిక సదుపాయాలు ఉండవచ్చు.
నియంత్రణ మరియు విశ్వసనీయత చిక్కులు: మైక్రోసాఫ్ట్ అనేక కీలకమైన మౌలిక సదుపాయాలు మరియు సంస్థ వాతావరణాలలో లోతుగా పొందుపరచబడినందున, డిఫాల్ట్‌గా భద్రతను కాన్ఫిగర్ చేయడంలో వైఫల్యాలు స్వయంచాలకంగా రక్షణ భారాన్ని అటువంటి బలహీనతలను గుర్తించడానికి నైపుణ్యం, వనరులు లేదా దృశ్యమానత లేని సంస్థలకు మారుస్తాయి. ప్రతిష్టకు నష్టం మరియు బాధ్యత ప్రమాదం గణనీయంగా ఉంటుంది.

నియంత్రణాపరమైన చిక్కులు

సెనేటర్ వైడెన్ చేసిన ఆరోపణ ఉత్పత్తి బాధ్యత , డిఫాల్ట్ సురక్షిత సెట్టింగ్‌లు మరియు విక్రేత బాధ్యత గురించి ముఖ్యమైన ప్రశ్నలను లేవనెత్తుతుంది. అసురక్షిత డిఫాల్ట్‌లకు సాఫ్ట్‌వేర్ విక్రేతలను ఎంతవరకు జవాబుదారీగా ఉంచాలి?
"అన్యాయమైన లేదా మోసపూరిత చర్యలు లేదా పద్ధతులను" పరిశోధించడానికి FTC అధికారం వంటి నియంత్రణ సాధనాలు సాఫ్ట్‌వేర్ భద్రతా నిర్లక్ష్యంపై వర్తించవచ్చు. మైక్రోసాఫ్ట్ నిర్లక్ష్యంగా ఉన్నట్లు తేలితే, విస్తృతంగా ఉపయోగించే సాఫ్ట్‌వేర్‌లో డిఫాల్ట్ కాన్ఫిగరేషన్‌లు, ఎన్‌క్రిప్షన్ ప్రమాణాలు మరియు పాస్‌వర్డ్ అవసరాలు ఎలా నియంత్రించబడతాయో ఇది ఒక ఉదాహరణగా నిలుస్తుంది.
విస్తృతమైన నియమావళి సమస్య కూడా ఉంది: సెక్యూర్-బై-డిఫాల్ట్ vs. సెక్యూర్-బై-ఆప్షన్ . వైడెన్ యొక్క స్థానం డిఫాల్ట్‌లు భద్రత విషయంలో తప్పుగా ఉండాలి, అధిక పాస్‌వర్డ్ బలం, బలహీనమైన క్రిప్టోగ్రాఫిక్ అల్గారిథమ్‌ల తగ్గింపు మరియు సురక్షిత కాన్ఫిగరేషన్‌లు ఐచ్ఛిక టోగుల్‌లుగా కాకుండా బేక్ చేయబడి ఉండాలి అని సూచిస్తుంది.

FTCకి సెనేటర్ వైడెన్ రాసిన లేఖ సైబర్ భద్రత, నియంత్రణ మరియు కార్పొరేట్ జవాబుదారీతనం యొక్క సంగమాన్ని హైలైట్ చేస్తుంది. అసెన్షన్ ఉల్లంఘన అనేది ఒకే సంఘటన కంటే ఎక్కువ; విస్తృతంగా ఉపయోగించే సాఫ్ట్‌వేర్ డిఫాల్ట్‌లు, బలహీనమైన ఎన్‌క్రిప్షన్ ప్రమాణాలు మరియు లెగసీ అనుకూలత కలిసి కీలకమైన మౌలిక సదుపాయాలపై పెద్ద ఎత్తున దాడులను ఎలా వేగవంతం చేస్తాయో ఇది ఒక కేస్ స్టడీగా పనిచేస్తుంది.

మైక్రోసాఫ్ట్ అసురక్షిత సైఫర్‌లను దశలవారీగా తొలగించడం మరియు మార్గదర్శకాలను ప్రచురించడం ప్రారంభించినందున, నియంత్రణ యంత్రాంగాలు మరింత వేగవంతమైన మార్పును కోరుతాయో, మెరుగైన డిఫాల్ట్‌లను అమలు చేస్తాయో మరియు ప్రమాదాన్ని ప్రారంభించడానికి విక్రేతలను బాధ్యులుగా చేస్తాయో లేదో కేంద్ర ప్రశ్నగా మిగిలిపోయింది. ఈ విషయం భద్రతా పరిశోధకుల నుండి మాత్రమే కాకుండా, నియంత్రణ సంస్థలు, ఎంటర్‌ప్రైజ్ కస్టమర్‌లు మరియు ప్రజల నుండి కూడా నిశిత పరిశీలనకు అర్హమైనది.

శోధన

ప్రాంతాన్ని మార్చండి