Itinulak ni Senator Wyden ang FTC Investigation sa Microsoft Dahil sa Mga Kahinaan sa Ransomware

Sa pamamagitan ng Sandos sa Seguridad ng Computer

Isalin To:

Pormal na nanawagan si US Senator Ron Wyden sa Federal Trade Commission (FTC) na imbestigahan ang Microsoft para sa inilalarawan niya bilang "gross cybersecurity negligence" kasunod ng pag-atake ng ransomware sa healthcare provider na Ascension. Ang pag-aalala ng senador ay nakasentro sa kung paano diumano ang mga default na configuration ng software ng Microsoft ay naglantad sa mga kritikal na network ng imprastraktura upang umatake.

Talaan ng mga Nilalaman

Ang Trigger: Ang Paglabag sa Pag-akyat at Mga Kahinaan sa Teknikal

Pangkalahatang-ideya ng Insidente: Noong nakaraang taon, ang Ascension, isang pangunahing sistema ng pangangalagang pangkalusugan, ay tinamaan ng pag-atake ng ransomware na ginawa ng grupong kilala bilang Black Basta , na nakakaapekto sa halos 5.6 milyong indibidwal . Ang paglabag ay nagsasangkot ng pagnanakaw ng data, pati na rin ang pagkagambala sa mga elektronikong rekord ng kalusugan.
Initial Vector: Ang isang contractor na nagtatrabaho para sa Ascension ay nag-click sa isang nakakahamak na link na natuklasan sa pamamagitan ng Bing search engine ng Microsoft. Ang pag-click na ito ay nagtakda ng mga chain reaction na nagpapahintulot sa mga umaatake na samantalahin ang mga hindi secure na default sa software ng Microsoft.
Default na Kahinaan ng Software: Ayon sa sulat ng Senador, kasama sa software ng Microsoft ang mapanganib na hindi secure na mga default na setting. Ang isang pangunahing isyu ay suporta para sa RC4 encryption sa loob ng Kerberos authentication protocol. Ang RC4 ay isang legacy cipher na itinuring na hindi secure ng cryptographic na pananaliksik. Bagama't hindi na ginagamit sa maraming modernong sistema, sa kaso ng Microsoft ay nanatili itong naka-enable bilang default. Nagbigay-daan ito sa mga umaatake na gumamit ng diskarteng kilala bilang Kerberoasting upang kunin ang mga kredensyal ng account ng serbisyo mula sa Active Directory.

Mga Teknikal na Detalye: Kerberoasting, Default na Mga Cipher, at Mga Magagamit na Kahinaan

Ipinaliwanag ang Kerberoasting: Sa kapaligiran ng Active Directory, humihiling ng mga tiket sa Kerberos ang mga account ng serbisyo na may Mga Pangunahing Pangalan ng Serbisyo (SPN). Kung naka-encrypt ang mga tiket na iyon gamit ang mga mahinang cipher tulad ng RC4, maaaring makuha ng isang attacker ang ticket, pagkatapos ay magsagawa ng mga offline na pag-atake (hal., brute force o cryptanalysis) upang mabawi ang mga plaintext na kredensyal o sikreto ng account ng serbisyo. Sa kasong ito, inaangkin ng opisina ni Wyden na ginamit ng paglabag ang mga tiket na protektado ng RC4 na ito.

RC4 Matters: RC4 (Rivest Cipher 4), isang stream cipher na binuo noong huling bahagi ng 1980s, ay kilala sa loob ng mga dekada na may mga kahinaan—mga bias sa keystream nito at pagiging madaling kapitan sa pagbawi ng plaintext. Ipinagbabawal ng mga katawan ng pamantayan (hal., IETF) ang paggamit nito sa mga secure na channel, lalo na ang TLS, mula noong kalagitnaan ng 2010s dahil sa mga bahid na iyon. Nagsama pa rin ang Microsoft ng suporta para sa RC4 sa Kerberos bilang default, na sinabi ni Wyden na "hindi kailangang ilantad" ang mga customer kapag ginagamit ang mga mahihinang password.

Lakas ng Password at Mga Account ng Serbisyo: Binibigyang-diin din ng senador na hindi ipinapatupad ng Microsoft ang malakas na mga patakaran sa password (hal., 14-character na minimum, random na nabuong password) para sa mga account ng serbisyo, at hindi rin ito nangangailangan ng paggamit ng mas malakas na encryption cipher (AES-128 o AES-256) para sa Kerberos service ticket encryption kapag may kasamang mga SPN. Ang mahihinang patakarang ito, na sinamahan ng mahinang default na pag-encrypt, ay nagpapalaki sa panganib ng kompromiso sa kredensyal.

Mga Pagbabawas na Inirerekomenda ng Microsoft: Bilang tugon sa liham ni Wyden, naglathala ang Microsoft ng patnubay at sinabing plano nitong ihinto ang paggamit ng RC4. Binalangkas din nito ang mga hakbang gaya ng paggamit ng Group Managed Service Accounts (gMSA) o Delegated Managed Service Accounts (dMSA), pag-audit ng mga account na may mga SPN, pag-update ng mga algorithm ng pag-encrypt ng ticket, at pagtatakda ng malakas, random na nabuong mga password para sa mga privileged account. Ibinunyag pa ng Microsoft na ang mga bagong domain ng Active Directory na gumagamit ng Windows Server 2025 ay madi-disable ang RC4 bilang default simula sa Q1 ng 2026.

Mga Paratang sa Regulasyon at Patakaran

Ang pagpuna ni Senator Wyden ay higit pa sa isang paglabag. Sa kanyang apat na pahinang liham kay FTC Chairman Andrew Ferguson, binabalangkas niya ang Microsoft bilang isang sistematikong problema: isang "kultura ng pabaya sa cybersecurity" na dinagdagan ng halos monopolyo nito sa mga operating system ng enterprise. Gumagamit si Wyden ng matalas na metaporikal na pananalita, na tinatawag ang Microsoft na katulad ng "isang arsonist na nagbebenta ng mga serbisyo sa paglaban sa sunog sa kanilang mga biktima."
Iginiit ng liham na ang mga default na configuration ng Microsoft (ibig sabihin, pagpapagana ng legacy, hindi secure na pag-encrypt bilang default, maluwag na mga patakaran sa password) sa paglipas ng panahon ay nagpapahina sa mga proteksyon sa baseline sa maraming organisasyon—lalo na sa mga nasa pangangalagang pangkalusugan at kritikal na imprastraktura. Ang mungkahi ay ang kapabayaan sa mga default at pagsasaayos ay hindi lamang isang isyu sa IT kundi isang pambansang alalahanin sa seguridad.

Tugon ng Microsoft

Pagkilala na ang RC4 ay lipas na , at hindi hinihikayat ng Microsoft ang paggamit nito "sa kung paano namin inhinyero ang aming software at sa aming dokumentasyon sa mga customer." Sinasabi ng kumpanya na wala pang 0.1% ng trapiko nito ang gumagamit pa rin ng RC4. Gayunpaman, ipinapahayag din ng Microsoft ang pag-aalala na ang ganap na hindi pagpapagana ng RC4 ay maaaring magdulot ng mga isyu sa pagiging tugma sa mga umiiral na kapaligiran.

Nangako ang Microsoft na unti-unting alisin ang suporta sa RC4, habang patuloy na nagbibigay ng matitinding babala at gabay sa mga customer. Bukod pa rito, sinabi ng Microsoft na ang mga bagong AD domain sa Windows Server 2025 ay, bilang default, idi-disable ang RC4 encryption.

Pagtatasa ng Panganib sa Seguridad

Attack Surface at Cascading Consequences: Kapag pinapayagan ng mga software vendor ang mahinang pag-encrypt bilang default o mahinang mga patakaran sa password, nagbibigay sila ng "madaling piliin" sa mga umaatake. Kahit na ang mga administrator ng system na may kamalayan sa seguridad ay maaaring magmana ng mga configuration na nagpapahintulot sa RC4 o nagbibigay-daan sa mahihinang mga kredensyal, lalo na sa mga kapaligiran kung saan ang continuity at legacy na compatibility ay lubos na pinahahalagahan.
Vulnerability Exploits: Ang mga pag-atake ng Kerberoasting ay hindi haka-haka; ang mga ito ay kilala, naidokumento, at matagumpay na nagamit sa maraming insidente ng paglabag. Kapag nakompromiso ang mga kredensyal ng account ng serbisyo, maaaring lumipat ang mga umaatake sa gilid, pataasin ang mga pribilehiyo, at i-access ang mga sensitibong asset. Sa mga setting ng pangangalagang pangkalusugan, maaaring kabilang doon ang personal na data ng kalusugan, IoT na mga medikal na device, at kritikal na imprastraktura.
Mga Implikasyon sa Regulatoryo at Pagtitiwala: Dahil malalim ang pagkaka-embed ng Microsoft sa maraming kritikal na imprastraktura at kapaligiran ng enterprise, ang mga pagkabigo sa pag-configure ng seguridad bilang default ay awtomatikong inililipat ang pasanin ng depensa sa mga organisasyong maaaring kulang sa kadalubhasaan, mapagkukunan, o kakayahang makita ang gayong mga kahinaan. Malaki ang pinsala sa reputasyon at panganib sa pananagutan.

Mga Regulatoryong Implikasyon

Ang alegasyon ni Senator Wyden ay naglalabas ng mahahalagang tanong tungkol sa pananagutan ng produkto , mga default na secure na setting , at responsibilidad ng vendor . Hanggang saan dapat managot ang mga vendor ng software para sa mga hindi secure na default?
Ang mga tool sa regulasyon tulad ng awtoridad ng FTC na mag-imbestiga sa "hindi patas o mapanlinlang na mga gawa o kasanayan" ay maaaring ilapat sa pagpapabaya sa seguridad ng software. Kung mapapatunayang pabaya ang Microsoft, maaari itong magtakda ng precedent para sa kung paano kinokontrol ang mga default na configuration, pamantayan sa pag-encrypt, at password sa malawakang ginagamit na software.
Mayroon ding mas malawak na normatibong isyu: secure-by-default vs. secure-by-option . Ipinahihiwatig ng posisyon ni Wyden na ang mga default ay dapat magkamali sa panig ng seguridad, na may mas mataas na lakas ng password, paghinto sa paggamit ng mahihinang cryptographic algorithm, at ligtas na mga configuration na naka-baked in—hindi bilang mga opsyonal na toggle.

Ang liham ni Senator Wyden sa FTC ay nagha-highlight ng isang kumbinasyon ng cybersecurity, regulasyon, at pananagutan ng korporasyon. Ang paglabag sa Ascension ay higit pa sa isang insidente; nagsisilbi itong case study sa kung gaano kalawakang ginagamit ang mga default ng software, mahinang mga pamantayan sa pag-encrypt, at legacy na compatibility ay maaaring pagsamahin upang maunahan ang malalaking pag-atake sa kritikal na imprastraktura.

Habang sinisimulan ng Microsoft na alisin ang mga hindi secure na cipher at mag-publish ng patnubay, ang pangunahing tanong ay nananatili kung ang mga mekanismo ng regulasyon ay hihingi ng mas mabilis na pagbabago, magpapatupad ng mas mahusay na mga default, at pananagutan ang mga vendor para sa pagpapagana ng panganib. Ang bagay na ito ay nararapat na masusing pagsisiyasat—hindi lamang mula sa mga mananaliksik sa seguridad, ngunit mula sa mga regulator, customer ng enterprise, at sa publiko sa pangkalahatan.

Ang Payment Processor ng EnigmaSoft na Digital River GmbH na Pag-file para sa Pagkalugi ay Hindi Nakakaapekto sa Proteksyon ng Anti-Malware ng Mga Customer ng SpyHunter

Paghahanap

Baguhin ang Rehiyon