Çoklu Lisans İndirim Teklifi
Bilgisayar Güvenliği Senatör Wyden, Microsoft'un Fidye Yazılımı Güvenlik...

Senatör Wyden, Microsoft'un Fidye Yazılımı Güvenlik Açıkları Nedeniyle FTC Soruşturmasını Öngördü

Sandos'de Bilgisayar Güvenliği'de
Çevir:

ABD Senatörü Ron Wyden, sağlık hizmeti sağlayıcısı Ascension'a düzenlenen fidye yazılımı saldırısının ardından, Federal Ticaret Komisyonu'nu (FTC) Microsoft'u "ağır siber güvenlik ihmali" olarak nitelendirdiği gerekçesiyle soruşturmaya resmen çağırdı. Senatörün endişesi, Microsoft'un varsayılan yazılım yapılandırmalarının kritik altyapı ağlarını saldırılara nasıl açık hale getirdiğine odaklanıyor.

Tetikleyici: Ascension İhlali ve Teknik Güvenlik Açıkları

  • Olay Özeti: Geçtiğimiz yıl, büyük bir sağlık sistemi olan Ascension, Black Basta adlı grup tarafından gerçekleştirilen ve yaklaşık 5,6 milyon kişiyi etkileyen bir fidye yazılımı saldırısına maruz kaldı. İhlal, veri hırsızlığının yanı sıra elektronik sağlık kayıtlarının da kesintiye uğramasını içeriyordu.
  • İlk Vektör: Ascension için çalışan bir yüklenici, Microsoft'un Bing arama motoru aracılığıyla keşfedilen kötü amaçlı bir bağlantıya tıkladı. Bu tıklama, saldırganların Microsoft yazılımlarındaki güvenli olmayan varsayılan ayarları istismar etmesine olanak tanıyan zincirleme reaksiyonları tetikledi.
  • Varsayılan Yazılım Zayıflığı: Senatörün mektubuna göre, Microsoft'un yazılımı tehlikeli derecede güvensiz varsayılan ayarlar içeriyor. Temel sorunlardan biri, Kerberos kimlik doğrulama protokolünde RC4 şifrelemesi desteği. RC4, kriptografik araştırmalarca güvensiz kabul edilen eski bir şifredir. Birçok modern sistemde kullanımdan kaldırılmış olsa da, Microsoft'un durumunda varsayılan olarak etkin kalmıştır. Bu durum, saldırganların Kerberosting olarak bilinen bir tekniği kullanarak Active Directory'den hizmet hesabı kimlik bilgilerini elde etmelerine olanak sağlamıştır.

Teknik Özellikler: Kerberoasting, Varsayılan Şifreler ve İstismar Edilebilir Zayıflıklar

  • Kerberoasting Açıklaması: Bir Active Directory ortamında, Hizmet Asıl Adları (SPN) olan hizmet hesapları Kerberos biletleri talep eder. Bu biletler RC4 gibi zayıf şifreler kullanılarak şifrelenirse, bir saldırgan bileti ele geçirebilir ve ardından hizmet hesabının düz metin kimlik bilgilerini veya sırlarını kurtarmak için çevrimdışı saldırılar (örneğin, kaba kuvvet veya kriptoanaliz) gerçekleştirebilir. Bu durumda, Wyden'ın ofisi, ihlalin RC4 ile korunan bu biletleri kullandığını iddia ediyor.
  • RC4 Önemlidir: 1980'lerin sonlarında geliştirilen bir akış şifresi olan RC4 (Rivest Şifre 4), onlarca yıldır anahtar akışındaki önyargılar ve düz metin kurtarmaya karşı hassasiyet gibi güvenlik açıklarına sahip olduğu bilinmektedir. Standart kuruluşları (örneğin IETF), bu kusurlar nedeniyle 2010'ların ortalarından beri güvenli kanallarda, özellikle TLS'de kullanımını yasaklamıştır. Microsoft, Wyden'ın zayıf parolalar kullanıldığında müşterileri "gereksiz yere ifşa ettiğini" belirttiği Kerberos'a varsayılan olarak RC4 desteğini eklemiştir.
  • Parola Gücü ve Hizmet Hesapları: Senatör ayrıca, Microsoft'un hizmet hesapları için güçlü parola politikaları (örneğin, en az 14 karakter, rastgele oluşturulmuş parolalar) uygulamadığını ve SPN'ler söz konusu olduğunda Kerberos hizmet bileti şifrelemesi için daha güçlü şifreleme şifrelerinin (AES-128 veya AES-256) kullanılmasını gerektirmediğini vurguluyor. Bu zayıf politikalar, zayıf varsayılan şifrelemeyle birleştiğinde, kimlik bilgilerinin tehlikeye atılma riskini artırıyor.
  • Microsoft'un Önerdiği Azaltma Önlemleri: Wyden'ın mektubuna yanıt olarak Microsoft, bir kılavuz yayınladı ve RC4 kullanımını aşamalı olarak kaldırmayı planladığını belirtti. Ayrıca, Grup Yönetimli Hizmet Hesapları (gMSA) veya Temsilci Yönetimli Hizmet Hesapları (dMSA) kullanımı, hesapların SPN'lerle denetlenmesi, bilet şifreleme algoritmalarının güncellenmesi ve ayrıcalıklı hesaplar için güçlü, rastgele oluşturulmuş parolalar belirlenmesi gibi adımlar da özetledi. Microsoft ayrıca, Windows Server 2025 kullanan yeni Active Directory etki alanlarında, 2026'nın 1. çeyreğinden itibaren RC4'ün varsayılan olarak devre dışı bırakılacağını açıkladı.

    • Düzenleyici ve Politika İddiaları

    • Senatör Wyden'ın eleştirisi tekil bir ihlalin ötesine geçiyor. FTC Başkanı Andrew Ferguson'a yazdığı dört sayfalık mektupta, Microsoft'u sistemsel bir sorunla karşı karşıya olarak tanımlıyor: Kurumsal işletim sistemleri üzerindeki neredeyse tekeliyle güçlenen "ihmalkar siber güvenlik kültürü". Wyden, keskin bir metaforik dil kullanarak Microsoft'u "kurbanlarına itfaiye hizmeti satan bir kundakçıya" benzetiyor.
    • Mektupta, Microsoft'un varsayılan yapılandırmalarının (yani, varsayılan olarak eski, güvenli olmayan şifrelemeyi etkinleştirme ve esnek parola politikaları) zamanla birçok kuruluşta, özellikle de sağlık ve kritik altyapı sektörlerindeki kuruluşlarda temel korumaları zayıflattığı belirtiliyor. Varsayılan ayarlar ve yapılandırmalardaki ihmalin yalnızca bir BT sorunu değil, aynı zamanda ulusal bir güvenlik sorunu olduğu öne sürülüyor.

    Microsoft'un Yanıtı

    • RC4'ün eski moda olduğu ve Microsoft'un "yazılımlarımızı tasarlarken ve müşterilerimize sunduğumuz belgelerde" kullanımını önermediği kabul ediliyor. Şirket, trafiğinin %0,1'inden azının hâlâ RC4 kullandığını iddia ediyor. Ancak Microsoft, RC4'ü hemen tamamen devre dışı bırakmanın mevcut ortamlarla uyumluluk sorunlarına yol açabileceği endişesini de dile getiriyor.
  • Microsoft, müşterilerine güçlü uyarılar ve rehberlik sağlamaya devam ederken, RC4 desteğini kademeli olarak kaldırmayı taahhüt etti. Ayrıca Microsoft, Windows Server 2025'teki yeni AD etki alanlarının varsayılan olarak RC4 şifrelemesini devre dışı bırakacağını belirtiyor.

    • Güvenlik Risk Değerlendirmesi

    • Saldırı Yüzeyi ve Artan Sonuçlar: Yazılım satıcıları varsayılan olarak zayıf şifrelemeye veya zayıf parola politikalarına izin verdiğinde, saldırganlar için "kolay bir hedef" oluştururlar. Güvenlik konusunda bilinçli sistem yöneticileri bile, özellikle süreklilik ve eski uyumluluğun çok önemli olduğu ortamlarda, RC4'e izin veren veya zayıf kimlik bilgilerine izin veren yapılandırmaları devralabilir.
    • Güvenlik Açığı İstismarları: Kerberoasting saldırıları spekülatif değildir; bilinmektedir, belgelenmiştir ve birden fazla ihlal olayında başarıyla kullanılmıştır. Hizmet hesabı kimlik bilgileri ele geçirildiğinde, saldırganlar yatay olarak hareket edebilir, ayrıcalıkları artırabilir ve hassas varlıklara erişebilir. Sağlık hizmetlerinde bu, kişisel sağlık verilerini, IoT tıbbi cihazlarını ve kritik altyapıyı içerebilir.
    • Düzenleyici ve Güven Etkileri: Microsoft birçok kritik altyapı ve kurumsal ortama derinlemesine yerleşmiş olduğundan, güvenliği varsayılan olarak yapılandırmada yaşanan hatalar, savunma yükünü otomatik olarak bu tür zayıflıkları tespit edecek uzmanlık, kaynak veya görünürlükten yoksun kuruluşlara kaydırır. İtibar kaybı ve sorumluluk riski önemlidir.

    Düzenleyici Etkiler

    • Senatör Wyden'ın iddiası, ürün sorumluluğu , varsayılan güvenli ayarlar ve satıcı sorumluluğu hakkında önemli soruları gündeme getiriyor. Yazılım satıcıları, güvenli olmayan varsayılan ayarlardan ne ölçüde sorumlu tutulmalıdır?
    • FTC'nin "haksız veya aldatıcı eylem veya uygulamaları" soruşturma yetkisi gibi düzenleyici araçlar, yazılım güvenliği ihmallerine uygulanabilir. Microsoft'un ihmalkar olduğu tespit edilirse, bu durum yaygın olarak kullanılan yazılımlarda varsayılan yapılandırmaların, şifreleme standartlarının ve parola gereksinimlerinin nasıl düzenlendiği konusunda bir emsal teşkil edebilir.
    • Daha geniş bir normatif sorun da var: varsayılan olarak güvenli mi yoksa isteğe bağlı olarak güvenli mi ? Wyden'ın konumu, varsayılanların güvenlikten yana olması gerektiğini, daha güçlü parolalar, zayıf kriptografik algoritmaların kullanımdan kaldırılması ve güvenli yapılandırmaların isteğe bağlı geçişler olarak değil, yerleşik olarak sunulması gerektiğini ileri sürüyor.
  • Senatör Wyden'ın FTC'ye yazdığı mektup, siber güvenlik, düzenleme ve kurumsal hesap verebilirliğin bir araya geldiği bir olguyu vurguluyor. Ascension ihlali tek bir olaydan ibaret değil; yaygın olarak kullanılan yazılım varsayılanlarının, zayıf şifreleme standartlarının ve eski uyumluluğun kritik altyapılara yönelik büyük ölçekli saldırıları nasıl tetikleyebileceğine dair bir örnek teşkil ediyor.

    • Senatör Wyden'ın FTC'ye yazdığı mektup, siber güvenlik, düzenleme ve kurumsal hesap verebilirliğin bir araya geldiği bir olguyu vurguluyor. Ascension ihlali tek bir olaydan ibaret değil; yaygın olarak kullanılan yazılım varsayılanlarının, zayıf şifreleme standartlarının ve eski uyumluluğun kritik altyapılara yönelik büyük ölçekli saldırıları nasıl tetikleyebileceğine dair bir örnek teşkil ediyor.

    Microsoft, güvenli olmayan şifreleri aşamalı olarak kullanımdan kaldırmaya ve kılavuzlar yayınlamaya başlarken, düzenleyici mekanizmaların daha hızlı bir değişim talep edip etmeyeceği, daha iyi varsayılan ayarlar uygulayıp uygulamayacağı ve satıcıları riskleri artırmaktan sorumlu tutup tutmayacağı sorusu hâlâ ortada duruyor. Bu konu, yalnızca güvenlik araştırmacıları tarafından değil, düzenleyiciler, kurumsal müşteriler ve genel olarak kamuoyu tarafından da yakından incelenmeyi hak ediyor.

    Yükleniyor...