วุฒิสมาชิกไวเดนผลักดันการสอบสวนของ FTC ต่อ Microsoft กรณีช่องโหว่ Ransomware

โดย Sandos ใน ความปลอดภัยทางคอมพิวเตอร์

แปลเป็น:

วุฒิสมาชิกรอน ไวเดน ได้เรียกร้องอย่างเป็นทางการให้คณะกรรมาธิการการค้าแห่งสหพันธรัฐ (FTC) สอบสวนไมโครซอฟท์ในข้อหาที่เขาเรียกว่า "ความประมาทเลินเล่ออย่างร้ายแรงต่อความมั่นคงปลอดภัยทางไซเบอร์" หลังจากการโจมตีด้วยแรนซัมแวร์ต่อบริษัท Ascension ซึ่งเป็นผู้ให้บริการด้านการดูแลสุขภาพ ความกังวลของวุฒิสมาชิกผู้นี้มุ่งเน้นไปที่การที่การกำหนดค่าซอฟต์แวร์เริ่มต้นของไมโครซอฟท์ทำให้เครือข่ายโครงสร้างพื้นฐานที่สำคัญถูกโจมตี

สารบัญ

ตัวกระตุ้น: การละเมิด Ascension และช่องโหว่ทางเทคนิค

ภาพรวมเหตุการณ์: ปีที่แล้ว Ascension ซึ่งเป็นระบบสาธารณสุขหลัก ถูกโจมตีด้วยแรนซัมแวร์โดยกลุ่มที่รู้จักกันในชื่อ Black Basta ซึ่งส่งผลกระทบต่อ ผู้คนเกือบ 5.6 ล้านคน การละเมิดนี้เกี่ยวข้องกับการโจรกรรมข้อมูล รวมถึงการรบกวนระบบบันทึกสุขภาพอิเล็กทรอนิกส์
เวกเตอร์เริ่มต้น: ผู้รับเหมาที่ทำงานให้กับ Ascension ได้คลิกลิงก์อันตรายที่ค้นพบผ่านเครื่องมือค้นหา Bing ของ Microsoft การคลิกครั้งนี้ทำให้เกิดปฏิกิริยาลูกโซ่ที่ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากค่าเริ่มต้นที่ไม่ปลอดภัยในซอฟต์แวร์ของ Microsoft ได้
จุดอ่อนของซอฟต์แวร์เริ่มต้น: ตามจดหมายของสมาชิกวุฒิสภา ซอฟต์แวร์ของ Microsoft มีการตั้งค่าเริ่มต้นที่ไม่ปลอดภัยอย่างอันตราย ปัญหาสำคัญประการหนึ่งคือการรองรับ การเข้ารหัส RC4 ภายในโปรโตคอลการตรวจสอบสิทธิ์ Kerberos RC4 เป็นรหัสลับแบบเก่าที่การวิจัยด้านการเข้ารหัสถือว่าไม่ปลอดภัย แม้ว่าระบบสมัยใหม่หลายระบบจะเลิกใช้ไปแล้ว แต่ในกรณีของ Microsoft ยังคงเปิดใช้งานไว้ตามค่าเริ่มต้น ซึ่งทำให้ผู้โจมตีสามารถใช้เทคนิคที่เรียกว่า Kerberoasting เพื่อดึงข้อมูลประจำตัวของบัญชีบริการจาก Active Directory ได้

ข้อมูลจำเพาะทางเทคนิค: Kerberoasting, รหัสเริ่มต้น และจุดอ่อนที่สามารถใช้ประโยชน์ได้

คำอธิบาย Kerberoasting: ในสภาพแวดล้อม Active Directory บัญชีบริการที่มี Service Principal Name (SPN) จะร้องขอตั๋ว Kerberos หากตั๋วเหล่านั้นถูกเข้ารหัสโดยใช้รหัสลับที่อ่อนแอ เช่น RC4 ผู้โจมตีสามารถขโมยตั๋วได้ จากนั้นจึงทำการโจมตีแบบออฟไลน์ (เช่น brute force หรือ cryptanalysis) เพื่อกู้คืนข้อมูลประจำตัวหรือความลับแบบข้อความธรรมดาของบัญชีบริการ ในกรณีนี้ สำนักงานของ Wyden อ้างว่าการละเมิดนี้ใช้ตั๋วที่ป้องกันด้วย RC4 เหล่านี้

RC4 Matters: RC4 (Rivest Cipher 4) ซึ่งเป็นรหัสเข้ารหัสแบบสตรีมที่พัฒนาขึ้นในช่วงปลายทศวรรษ 1980 เป็นที่ทราบกันมานานหลายทศวรรษว่ามีช่องโหว่ต่างๆ เช่น คีย์สตรีมที่เอนเอียงและความเสี่ยงต่อการกู้คืนข้อความธรรมดา หน่วยงานกำหนดมาตรฐาน (เช่น IETF) ได้ห้ามการใช้งาน RC4 ในช่องทางที่ปลอดภัย โดยเฉพาะ TLS ตั้งแต่กลางทศวรรษ 2010 เนื่องจากข้อบกพร่องเหล่านี้ Microsoft ยังคงรองรับ RC4 ใน Kerberos เป็นค่าเริ่มต้น ซึ่ง Wyden ระบุว่า "ทำให้ลูกค้าถูกเปิดเผยโดยไม่จำเป็น" เมื่อมีการใช้งานรหัสผ่านที่อ่อนแอ

ความแข็งแกร่งของรหัสผ่านและบัญชีบริการ: วุฒิสมาชิกยังเน้นย้ำว่า Microsoft ไม่ได้บังคับใช้นโยบายรหัสผ่านที่แข็งแกร่ง (เช่น รหัสผ่านขั้นต่ำ 14 ตัวอักษร รหัสผ่านที่สร้างแบบสุ่ม) สำหรับบัญชีบริการ และไม่ได้กำหนดให้ใช้รหัสเข้ารหัสที่แข็งแกร่งกว่า (AES-128 หรือ AES-256) สำหรับการเข้ารหัสตั๋วบริการ Kerberos เมื่อเกี่ยวข้องกับ SPN นโยบายที่อ่อนแอเหล่านี้ เมื่อรวมกับการเข้ารหัสเริ่มต้นที่อ่อนแอ จะยิ่งเพิ่มความเสี่ยงของการถูกบุกรุกข้อมูลประจำตัว

มาตรการบรรเทาผลกระทบที่ Microsoft แนะนำ: เพื่อตอบสนองต่อจดหมายของ Wyden ทาง Microsoft ได้เผยแพร่แนวทางปฏิบัติและระบุว่ามีแผนที่จะยุติการใช้งาน RC4 นอกจากนี้ยังได้ระบุขั้นตอนต่างๆ เช่น การใช้ Group Managed Service Accounts (gMSA) หรือ Delegated Managed Service Accounts (dMSA) การตรวจสอบบัญชีด้วย SPN การอัปเดตอัลกอริทึมการเข้ารหัสตั๋ว และการตั้งรหัสผ่านที่รัดกุมและสร้างขึ้นแบบสุ่มสำหรับบัญชีที่มีสิทธิ์ใช้งาน Microsoft ยังเปิดเผยเพิ่มเติมว่าโดเมน Active Directory ใหม่ที่ใช้ Windows Server 2025 จะถูกปิดใช้งาน RC4 ตามค่าเริ่มต้น เริ่มตั้งแต่ไตรมาสที่ 1 ของปี 2026

ข้อกล่าวหาเรื่องกฎระเบียบและนโยบาย

คำวิจารณ์ของวุฒิสมาชิกไวเดนนั้นเกินเลยไปกว่าการละเมิดเพียงครั้งเดียว ในจดหมายสี่หน้าถึงแอนดรูว์ เฟอร์กูสัน ประธาน FTC เขาตีกรอบให้ไมโครซอฟท์มีปัญหาเชิงระบบ นั่นคือ “วัฒนธรรมความปลอดภัยทางไซเบอร์ที่ละเลย” ซึ่งยิ่งทวีความรุนแรงขึ้นจากการผูกขาดระบบปฏิบัติการขององค์กร ไวเดนใช้ถ้อยคำเชิงเปรียบเทียบที่เฉียบคม โดยเรียกไมโครซอฟท์ว่า “คนวางเพลิงที่ขายบริการดับเพลิงให้กับเหยื่อ”
จดหมายฉบับนี้ยืนยันว่าการกำหนดค่าเริ่มต้นของ Microsoft (เช่น การเปิดใช้งานการเข้ารหัสแบบเดิมที่ไม่ปลอดภัยเป็นค่าเริ่มต้น และนโยบายรหัสผ่านที่ผ่อนปรน) ได้ทำให้การป้องกันขั้นพื้นฐานในหลายองค์กรอ่อนแอลงเมื่อเวลาผ่านไป โดยเฉพาะอย่างยิ่งในองค์กรด้านการดูแลสุขภาพและโครงสร้างพื้นฐานที่สำคัญ ข้อเสนอแนะคือความประมาทเลินเล่อในการกำหนดค่าเริ่มต้นและการกำหนดค่าไม่ได้เป็นเพียงปัญหาด้านไอทีเท่านั้น แต่ยังเป็นปัญหาด้านความมั่นคงของชาติอีกด้วย

การตอบสนองของ Microsoft

การยอมรับว่า RC4 ล้าสมัย และ Microsoft ไม่สนับสนุนให้ใช้งาน "ในวิธีที่เราออกแบบซอฟต์แวร์และในเอกสารประกอบสำหรับลูกค้า" บริษัทอ้างว่ามีปริมาณการใช้งาน RC4 น้อยกว่า 0.1% ที่ยังคงใช้ อย่างไรก็ตาม Microsoft ยังแสดงความกังวลว่าการปิดใช้งาน RC4 อย่างสมบูรณ์ทันทีอาจทำให้เกิดปัญหาความเข้ากันได้กับสภาพแวดล้อมที่มีอยู่

Microsoft มุ่งมั่นที่จะยุติการสนับสนุน RC4 อย่างค่อยเป็นค่อยไป ขณะเดียวกันก็ยังคงมอบคำเตือนและคำแนะนำที่เข้มงวดแก่ลูกค้าต่อไป นอกจากนี้ Microsoft ยังระบุด้วยว่าโดเมน AD ใหม่ใน Windows Server 2025 จะปิดใช้งานการเข้ารหัส RC4 ตามค่าเริ่มต้น

การประเมินความเสี่ยงด้านความปลอดภัย

พื้นผิวการโจมตีและผลกระทบแบบต่อเนื่อง: เมื่อผู้จำหน่ายซอฟต์แวร์อนุญาตให้มีการเข้ารหัสที่อ่อนแอตามค่าเริ่มต้นหรือนโยบายรหัสผ่านที่อ่อนแอ พวกเขาจะกลายเป็น "ทางเลือกที่ง่าย" สำหรับผู้โจมตี แม้แต่ผู้ดูแลระบบที่ตระหนักถึงความปลอดภัยก็อาจสืบทอดการกำหนดค่าที่อนุญาตให้ใช้ RC4 หรืออนุญาตให้ใช้ข้อมูลประจำตัวที่อ่อนแอ โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่ให้ความสำคัญกับความต่อเนื่องและความเข้ากันได้ของระบบเดิมเป็นอย่างมาก
ช่องโหว่: การโจมตีแบบ Kerberoasting ไม่ใช่การคาดเดา แต่เป็นการโจมตีที่รู้จัก มีการบันทึก และเคยถูกใช้อย่างประสบความสำเร็จในเหตุการณ์การละเมิดหลายครั้ง เมื่อข้อมูลประจำตัวของบัญชีบริการถูกบุกรุก ผู้โจมตีสามารถย้ายที่อยู่ ยกระดับสิทธิ์ และเข้าถึงสินทรัพย์สำคัญได้ ในระบบการดูแลสุขภาพ การโจมตีดังกล่าวอาจรวมถึงข้อมูลสุขภาพส่วนบุคคล อุปกรณ์การแพทย์ IoT และโครงสร้างพื้นฐานที่สำคัญ
ผลกระทบด้านกฎระเบียบและความน่าเชื่อถือ: เนื่องจาก Microsoft ฝังรากลึกอยู่ในโครงสร้างพื้นฐานและสภาพแวดล้อมองค์กรที่สำคัญหลายแห่ง ความล้มเหลวในการกำหนดค่าความปลอดภัยตามค่าเริ่มต้นจะผลักภาระการป้องกันไปยังองค์กรที่อาจขาดความเชี่ยวชาญ ทรัพยากร หรือความสามารถในการตรวจจับจุดอ่อนดังกล่าวโดยอัตโนมัติ ความเสี่ยงต่อความเสียหายต่อชื่อเสียงและความรับผิดชอบจึงค่อนข้างสูง

ผลกระทบด้านกฎระเบียบ

ข้อกล่าวหาของวุฒิสมาชิกไวเดนทำให้เกิดคำถามสำคัญเกี่ยวกับ ความรับผิดต่อผลิตภัณฑ์ การตั้งค่าความปลอดภัยเริ่มต้น และ ความรับผิดชอบของผู้จำหน่าย ผู้จำหน่ายซอฟต์แวร์ควรต้องรับผิดชอบต่อการผิดนัดที่ไม่ปลอดภัยในระดับใด
เครื่องมือกำกับดูแลอย่าง เช่นอำนาจของ FTC ในการสืบสวน “การกระทำหรือการปฏิบัติที่ไม่เป็นธรรมหรือหลอกลวง” อาจถูกนำมาใช้กับการละเลยด้านความปลอดภัยของซอฟต์แวร์ หากพบว่า Microsoft ละเลย นี่อาจเป็นบรรทัดฐานสำหรับการควบคุมการกำหนดค่าเริ่มต้น มาตรฐานการเข้ารหัส และข้อกำหนดรหัสผ่านในซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย
นอกจากนี้ยังมีประเด็นเชิงบรรทัดฐานที่กว้างกว่า นั่นคือ secure-by-default เทียบกับ secure-by-option จุดยืนของ Wyden บ่งชี้ว่าค่าเริ่มต้นควรอยู่ฝั่งของความปลอดภัย โดยมีระดับความแข็งแกร่งของรหัสผ่านที่สูงขึ้น การเลิกใช้อัลกอริทึมการเข้ารหัสที่อ่อนแอ และการกำหนดค่าที่ปลอดภัยที่ฝังไว้ภายใน ไม่ใช่การสลับตัวเลือก

จดหมายของวุฒิสมาชิกไวเดนถึง FTC เน้นย้ำถึงความเชื่อมโยงระหว่างความมั่นคงปลอดภัยไซเบอร์ กฎระเบียบ และความรับผิดชอบขององค์กร การละเมิด Ascension ไม่ใช่แค่เหตุการณ์เดียว แต่เป็นกรณีศึกษาว่าการผิดนัดชำระหนี้ของซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย มาตรฐานการเข้ารหัสที่อ่อนแอ และความเข้ากันได้ของระบบเดิม ล้วนสามารถรวมกันเป็นเหตุให้เกิดการโจมตีโครงสร้างพื้นฐานที่สำคัญในวงกว้างได้อย่างไร

ขณะที่ Microsoft เริ่มทยอยยกเลิกการเข้ารหัสที่ไม่ปลอดภัยและเผยแพร่แนวทางปฏิบัติ คำถามสำคัญยังคงอยู่ว่ากลไกการกำกับดูแลจะเรียกร้องให้มีการเปลี่ยนแปลงที่รวดเร็วขึ้น บังคับใช้การผิดนัดชำระหนี้ที่ดีขึ้น และให้ผู้ขายรับผิดชอบต่อความเสี่ยงที่เกิดขึ้นหรือไม่ เรื่องนี้ควรได้รับการตรวจสอบอย่างใกล้ชิด ไม่เพียงแต่จากนักวิจัยด้านความปลอดภัยเท่านั้น แต่ยังรวมถึงหน่วยงานกำกับดูแล ลูกค้าองค์กร และสาธารณชนทั่วไปด้วย

ค้นหา

เปลี่ยนภูมิภาค