Знижка на кілька ліцензій
Комп'ютерна безпека Сенатор Вайден наполягає на розслідуванні FTC щодо...

Сенатор Вайден наполягає на розслідуванні FTC щодо Microsoft через вразливості програм-вимагачів

До Sandos року в Комп'ютерна безпека році
Перекласти на:

Сенатор США Рон Вайден офіційно звернувся до Федеральної торгової комісії (FTC) з проханням розслідувати діяльність Microsoft за те, що він називає «грубою недбалістю у сфері кібербезпеки» після атаки програми-вимагача на медичного працівника Ascension. Сенатор занепокоєний тим, як стандартні конфігурації програмного забезпечення Microsoft нібито наражали на ризик атаки на критично важливі мережі інфраструктури.

Тригер: порушення Ascension та технічні вразливості

  • Огляд інциденту: Минулого року Ascension, велика система охорони здоров'я, постраждала від атаки програмного забезпечення-вимагача, здійсненої групою під назвою Black Basta , яка торкнулася майже 5,6 мільйона осіб . Порушення включало крадіжку даних, а також порушення роботи електронних медичних записів.
  • Початковий вектор: Підрядник, який працював на Ascension, натиснув на шкідливе посилання, виявлене через пошукову систему Bing від Microsoft. Цей клік спричинив ланцюгову реакцію, яка дозволила зловмисникам використовувати незахищені налаштування за замовчуванням у програмному забезпеченні Microsoft.
  • Слабкість програмного забезпечення за замовчуванням: Згідно з листом сенатора, програмне забезпечення Microsoft містить небезпечно небезпечні налаштування за замовчуванням. Однією з ключових проблем є підтримка шифрування RC4 у протоколі автентифікації Kerberos. RC4 – це застарілий шифр, який криптографічними дослідженнями вважається небезпечним. Хоча він застарів у багатьох сучасних системах, у випадку Microsoft він залишився ввімкненим за замовчуванням. Це дозволило зловмисникам використовувати техніку, відому як Kerberoasting, для отримання облікових даних облікових записів служби з Active Directory.

Технічні характеристики: кербероастінг, шифри за замовчуванням та вразливості, що можуть бути використані

  • Пояснення Kerberoasting: У середовищі Active Directory облікові записи служб з іменами принципалів служб (SPN) запитують квитки Kerberos. Якщо ці квитки зашифровані за допомогою слабких шифрів, таких як RC4, зловмисник може отримати квиток, а потім виконати офлайн-атаки (наприклад, методом грубої сили або криптоаналізу), щоб відновити облікові дані або секрети облікового запису служби у відкритому тексті. У цьому випадку офіс Вайдена стверджує, що для порушення використовувалися ці квитки, захищені RC4.
  • Важливість RC4: RC4 (Rivest Cipher 4), потоковий шифр, розроблений наприкінці 1980-х років, вже десятиліттями відомий своїми вразливостями — упередженнями в потоці ключів та вразливістю до відновлення відкритого тексту. Стандартизаційні органи (наприклад, IETF) заборонили його використання в захищених каналах, особливо TLS, з середини 2010-х років через ці недоліки. Microsoft все ще включала підтримку RC4 в Kerberos за замовчуванням, що, за словами Вайдена, «без потреби піддає ризику» клієнтів, коли використовуються слабкі паролі.
  • Надійність пароля та службові облікові записи: Сенатор також наголошує, що Microsoft не застосовує політику надійних паролів (наприклад, мінімум 14 символів, випадково згенеровані паролі) для службових облікових записів, а також не вимагає використання надійніших шифрів шифрування (AES-128 або AES-256) для шифрування службових квитків Kerberos, коли задіяні SPN. Ці слабкі політики в поєднанні зі слабким шифруванням за замовчуванням збільшують ризик компрометації облікових даних.
  • Заходи, що рекомендує Microsoft: У відповідь на лист Вайдена, Microsoft опублікувала рекомендації та заявила, що планує поступово відмовитися від використання RC4. Вона також окреслила такі кроки, як використання групових керованих облікових записів служб (gMSA) або делегованих керованих облікових записів служб (dMSA), аудит облікових записів з іменами учасників, оновлення алгоритмів шифрування квитків та встановлення надійних, випадково згенерованих паролів для привілейованих облікових записів. Microsoft також повідомила, що для нових доменів Active Directory, що використовують Windows Server 2025, RC4 буде вимкнено за замовчуванням, починаючи з першого кварталу 2026 року.

    • Звинувачення щодо нормативних актів та політики

    • Критика сенатора Вайдена виходить за рамки окремого порушення. У своєму чотиристорінковому листі до голови Федеральної торгової комісії Ендрю Фергюсона він називає Microsoft системною проблемою: «культурою недбальства щодо кібербезпеки», що посилюється майже монополією компанії на корпоративні операційні системи. Вайден використовує гостру метафоричну мову, називаючи Microsoft схожим на «палія, який продає послуги пожежогасіння своїм жертвам».
    • У листі стверджується, що конфігурації Microsoft за замовчуванням (тобто ввімкнення застарілого, незахищеного шифрування за замовчуванням, поблажлива політика паролів) з часом послабили базовий захист у багатьох організаціях, особливо в охороні здоров'я та критично важливій інфраструктурі. Припускається, що недбалість у налаштуваннях за замовчуванням та конфігурації є не лише проблемою ІТ, а й проблемою національної безпеки.

    Відповідь Microsoft

    • Визнання того, що RC4 є застарілим , і що Microsoft не рекомендує його використання «в тому, як ми розробляємо наше програмне забезпечення, і в нашій документації для клієнтів». Компанія стверджує, що менше 0,1% її трафіку все ще використовує RC4. Однак Microsoft також висловлює стурбованість тим, що повне вимкнення RC4 може спричинити проблеми сумісності з існуючими середовищами.
  • Microsoft зобов’язалася поступово припинити підтримку RC4, продовжуючи надавати клієнтам суворі попередження та рекомендації. Крім того, Microsoft зазначає, що в нових доменах AD у Windows Server 2025 шифрування RC4 буде за замовчуванням вимкнено.

    • Оцінка ризиків безпеки

    • Поверхня атаки та каскадні наслідки: Коли постачальники програмного забезпечення дозволяють слабке шифрування за замовчуванням або слабкі політики паролів, вони надають зловмисникам «легкий вибір». Навіть системні адміністратори, які обізнані з безпекою, можуть успадкувати конфігурації, що дозволяють RC4 або дозволяють слабкі облікові дані, особливо в середовищах, де високо цінуються безперервність та сумісність зі старими системами.
    • Експлойти вразливостей: атаки Kerberoasting не є спекулятивними; вони відомі, задокументовані та успішно використовувалися в численних інцидентах порушення безпеки. Після компрометації облікових даних сервісного облікового запису зловмисники можуть рухатися нестандартно, підвищувати привілеї та отримувати доступ до конфіденційних активів. У закладах охорони здоров'я це може включати особисті дані про здоров'я, медичні пристрої Інтернету речей та критичну інфраструктуру.
    • Наслідки для нормативних актів та довіри: Оскільки Microsoft глибоко інтегрована в багато критично важливих інфраструктурних та корпоративних середовищ, збої в налаштуванні безпеки за замовчуванням автоматично перекладають тягар захисту на організації, яким може бракувати досвіду, ресурсів або видимості для виявлення таких слабких місць. Ризик репутаційної шкоди та відповідальності є значними.

    Регуляторні наслідки

    • Звинувачення сенатора Вайдена порушує важливі питання щодо відповідальності за якість продукції , налаштувань безпеки за замовчуванням та відповідальності постачальників . Якою мірою постачальники програмного забезпечення повинні нести відповідальність за незахищені налаштування за замовчуванням?
    • Такі регуляторні інструменти , як повноваження FTC розслідувати «недобросовісні або оманливі дії чи практики», можуть бути застосовані до нехтування безпекою програмного забезпечення. Якщо Microsoft буде визнано недбалим, це може створити прецедент для того, як регулюються конфігурації за замовчуванням, стандарти шифрування та вимоги до паролів у широко використовуваному програмному забезпеченні.
    • Існує також ширше нормативне питання: безпека за замовчуванням проти безпеки за опцією . Позиція Вайдена передбачає, що налаштування за замовчуванням повинні бути на боці безпеки, з вищою надійністю паролів, застарілими слабкими криптографічними алгоритмами та вбудованими безпечними конфігураціями, а не як необов'язкові перемикачі.
  • Лист сенатора Вайдена до Федеральної торгової комісії підкреслює поєднання кібербезпеки, регулювання та корпоративної відповідальності. Витік даних Ascension — це більше, ніж окремий інцидент; він слугує тематичним дослідженням того, як широко використовувані налаштування програмного забезпечення за замовчуванням, слабкі стандарти шифрування та сумісність зі старими системами можуть поєднуватися, спричиняючи масштабні атаки на критичну інфраструктуру.

    • Лист сенатора Вайдена до Федеральної торгової комісії підкреслює поєднання кібербезпеки, регулювання та корпоративної відповідальності. Витік даних Ascension — це більше, ніж окремий інцидент; він слугує тематичним дослідженням того, як широко використовувані налаштування програмного забезпечення за замовчуванням, слабкі стандарти шифрування та сумісність зі старими системами можуть поєднуватися, спричиняючи масштабні атаки на критичну інфраструктуру.

    Оскільки Microsoft починає поступово відмовлятися від незахищених шифрів та публікувати рекомендації, центральним питанням залишається те, чи регуляторні механізми вимагатимуть швидших змін, забезпечуватимуть кращі значення за замовчуванням та чи притягуватимуть постачальників до відповідальності за спричинення ризиків. Це питання заслуговує на пильну увагу — не лише з боку дослідників безпеки, а й з боку регуляторів, корпоративних клієнтів та широкої громадськості.

    Завантаження...