Báo giá giảm giá nhiều giấy phép
Bảo mật máy tính Thượng nghị sĩ Wyden thúc đẩy FTC điều tra Microsoft về...

Thượng nghị sĩ Wyden thúc đẩy FTC điều tra Microsoft về lỗ hổng bảo mật Ransomware

Đến năm Sandos năm Bảo mật máy tính
Dịch sang:

Thượng nghị sĩ Hoa Kỳ Ron Wyden đã chính thức kêu gọi Ủy ban Thương mại Liên bang (FTC) điều tra Microsoft về cái mà ông mô tả là "sự tắc trách nghiêm trọng về an ninh mạng" sau vụ tấn công ransomware vào nhà cung cấp dịch vụ chăm sóc sức khỏe Ascension. Mối quan ngại của thượng nghị sĩ tập trung vào cách cấu hình phần mềm mặc định của Microsoft bị cáo buộc đã khiến các mạng lưới cơ sở hạ tầng quan trọng dễ bị tấn công.

Nguyên nhân: Vi phạm Ascension và các lỗ hổng kỹ thuật

  • Tổng quan sự cố: Năm ngoái, Ascension, một hệ thống chăm sóc sức khỏe lớn, đã bị tấn công bằng phần mềm tống tiền do nhóm Black Basta thực hiện, ảnh hưởng đến gần 5,6 triệu người . Vụ việc bao gồm đánh cắp dữ liệu và làm gián đoạn hồ sơ sức khỏe điện tử.
  • Vector ban đầu: Một nhà thầu làm việc cho Ascension đã nhấp vào một liên kết độc hại được phát hiện thông qua công cụ tìm kiếm Bing của Microsoft. Cú nhấp chuột này đã kích hoạt các phản ứng dây chuyền cho phép kẻ tấn công khai thác các mặc định không an toàn trong phần mềm Microsoft.
  • Điểm yếu mặc định của phần mềm: Theo thư của Thượng nghị sĩ, phần mềm của Microsoft bao gồm các thiết lập mặc định kém an toàn một cách nguy hiểm. Một vấn đề quan trọng là việc hỗ trợ mã hóa RC4 trong giao thức xác thực Kerberos. RC4 là một thuật toán mã hóa cũ được các nghiên cứu mật mã cho là không an toàn. Mặc dù đã bị loại bỏ trong nhiều hệ thống hiện đại, nhưng trong trường hợp của Microsoft, nó vẫn được bật theo mặc định. Điều này cho phép kẻ tấn công sử dụng một kỹ thuật được gọi là Kerberoasting để trích xuất thông tin đăng nhập tài khoản dịch vụ từ Active Directory.

Thông số kỹ thuật: Kerberoasting, Mã hóa mặc định và Điểm yếu có thể khai thác

  • Giải thích về Kerberoasting: Trong môi trường Active Directory, các tài khoản dịch vụ có Tên Chính của Dịch vụ (SPN) yêu cầu vé Kerberos. Nếu những vé này được mã hóa bằng các thuật toán mã hóa yếu như RC4, kẻ tấn công có thể lấy được vé, sau đó thực hiện các cuộc tấn công ngoại tuyến (ví dụ: tấn công vé thô hoặc phân tích mật mã) để khôi phục thông tin đăng nhập hoặc bí mật dạng văn bản thuần túy của tài khoản dịch vụ. Trong trường hợp này, văn phòng của Wyden tuyên bố rằng vụ xâm nhập đã sử dụng các vé được bảo vệ bằng RC4 này.
  • Vấn đề RC4: RC4 (Rivest Cipher 4), một thuật toán mã hóa luồng được phát triển vào cuối những năm 1980, đã được biết đến trong nhiều thập kỷ qua là có nhiều lỗ hổng bảo mật - sai lệch trong luồng khóa và dễ bị khôi phục dưới dạng văn bản thuần túy. Các tổ chức tiêu chuẩn hóa (ví dụ: IETF) đã cấm sử dụng RC4 trong các kênh bảo mật, đặc biệt là TLS, kể từ giữa những năm 2010 vì những lỗ hổng này. Microsoft vẫn mặc định hỗ trợ RC4 trong Kerberos, điều mà Wyden cho là "vô tình làm lộ thông tin" của khách hàng khi sử dụng mật khẩu yếu.
  • Độ mạnh của mật khẩu và tài khoản dịch vụ: Thượng nghị sĩ cũng nhấn mạnh rằng Microsoft không áp dụng chính sách mật khẩu mạnh (ví dụ: mật khẩu tối thiểu 14 ký tự, được tạo ngẫu nhiên) cho tài khoản dịch vụ, cũng như không yêu cầu sử dụng thuật toán mã hóa mạnh hơn (AES-128 hoặc AES-256) để mã hóa phiếu dịch vụ Kerberos khi có sự tham gia của SPN. Những chính sách yếu kém này, kết hợp với mã hóa mặc định yếu, làm tăng nguy cơ bị xâm phạm thông tin đăng nhập.
  • Biện pháp giảm thiểu mà Microsoft khuyến nghị: Đáp lại thư của Wyden, Microsoft đã công bố hướng dẫn và cho biết họ có kế hoạch loại bỏ dần việc sử dụng RC4. Công ty cũng nêu rõ các bước như sử dụng Tài khoản Dịch vụ Quản lý Nhóm (gMSA) hoặc Tài khoản Dịch vụ Quản lý Ủy quyền (dMSA), kiểm tra tài khoản bằng SPN, cập nhật thuật toán mã hóa ticket và đặt mật khẩu mạnh, được tạo ngẫu nhiên cho các tài khoản đặc quyền. Microsoft cũng tiết lộ thêm rằng các miền Active Directory mới sử dụng Windows Server 2025 sẽ bị tắt RC4 theo mặc định bắt đầu từ Quý 1 năm 2026.

    • Các cáo buộc về quy định và chính sách

    • Lời chỉ trích của Thượng nghị sĩ Wyden không chỉ dừng lại ở một vụ vi phạm đơn lẻ. Trong bức thư dài bốn trang gửi Chủ tịch FTC Andrew Ferguson, ông mô tả Microsoft đang gặp phải một vấn đề mang tính hệ thống: một "nền văn hóa an ninh mạng cẩu thả" cộng thêm vị thế gần như độc quyền của hãng này đối với các hệ điều hành doanh nghiệp. Wyden sử dụng ngôn ngữ ẩn dụ sắc bén, gọi Microsoft giống như "một kẻ đốt phá bán dịch vụ chữa cháy cho nạn nhân của chúng".
    • Bức thư khẳng định rằng các cấu hình mặc định của Microsoft (tức là, cho phép mã hóa cũ, không an toàn theo mặc định, chính sách mật khẩu dễ dãi) theo thời gian đã làm suy yếu các biện pháp bảo vệ cơ bản trong nhiều tổ chức, đặc biệt là các tổ chức trong lĩnh vực chăm sóc sức khỏe và cơ sở hạ tầng quan trọng. Ý kiến cho rằng sự cẩu thả trong các thiết lập mặc định và cấu hình không chỉ là vấn đề CNTT mà còn là mối lo ngại về an ninh quốc gia.

    Phản hồi của Microsoft

    • Xác nhận rằng RC4 đã lỗi thời và Microsoft không khuyến khích sử dụng RC4 "trong cách chúng tôi thiết kế phần mềm và trong tài liệu hướng dẫn khách hàng". Công ty tuyên bố rằng chưa đến 0,1% lưu lượng truy cập của họ vẫn sử dụng RC4. Tuy nhiên, Microsoft cũng bày tỏ lo ngại rằng việc tắt hoàn toàn RC4 ngay lập tức có thể gây ra các vấn đề về khả năng tương thích với các môi trường hiện có.
  • Microsoft đã cam kết dần dần loại bỏ hỗ trợ RC4, đồng thời tiếp tục cung cấp các cảnh báo và hướng dẫn mạnh mẽ cho khách hàng. Ngoài ra, Microsoft lưu ý rằng các miền AD mới trong Windows Server 2025 sẽ mặc định vô hiệu hóa mã hóa RC4.

    • Đánh giá rủi ro an ninh

    • Bề mặt tấn công và hậu quả dây chuyền: Khi các nhà cung cấp phần mềm cho phép mã hóa yếu theo mặc định hoặc chính sách mật khẩu yếu, họ tạo ra một "miếng mồi ngon" cho kẻ tấn công. Ngay cả những quản trị viên hệ thống am hiểu về bảo mật cũng có thể kế thừa các cấu hình cho phép RC4 hoặc cho phép thông tin xác thực yếu, đặc biệt là trong các môi trường mà tính liên tục và khả năng tương thích kế thừa được coi trọng.
    • Khai thác lỗ hổng: Các cuộc tấn công Kerberoasting không phải là suy đoán; chúng đã được biết đến, ghi nhận và đã được sử dụng thành công trong nhiều vụ vi phạm. Một khi thông tin đăng nhập tài khoản dịch vụ bị xâm phạm, kẻ tấn công có thể di chuyển ngang hàng, leo thang đặc quyền và truy cập vào các tài sản nhạy cảm. Trong lĩnh vực chăm sóc sức khỏe, điều này có thể bao gồm dữ liệu sức khỏe cá nhân, thiết bị y tế IoT và cơ sở hạ tầng quan trọng.
    • Hệ quả về mặt quy định và niềm tin: Do Microsoft đã tích hợp sâu vào nhiều cơ sở hạ tầng quan trọng và môi trường doanh nghiệp, việc cấu hình bảo mật mặc định không thành công sẽ tự động chuyển gánh nặng phòng thủ sang các tổ chức có thể thiếu chuyên môn, nguồn lực hoặc khả năng phát hiện những điểm yếu này. Thiệt hại về uy tín và rủi ro trách nhiệm pháp lý là rất lớn.

    Hàm ý về mặt quy định

    • Lời cáo buộc của Thượng nghị sĩ Wyden đặt ra những câu hỏi quan trọng về trách nhiệm sản phẩm , cài đặt bảo mật mặc địnhtrách nhiệm của nhà cung cấp . Các nhà cung cấp phần mềm nên chịu trách nhiệm đến mức nào đối với các lỗi bảo mật mặc định?
    • Các công cụ quản lý như thẩm quyền của FTC trong việc điều tra "các hành vi hoặc hoạt động không công bằng hoặc lừa đảo" có thể được áp dụng đối với hành vi bỏ bê bảo mật phần mềm. Nếu Microsoft bị phát hiện có hành vi bất cẩn, điều này có thể tạo tiền lệ cho việc quản lý cấu hình mặc định, tiêu chuẩn mã hóa và yêu cầu mật khẩu trong các phần mềm được sử dụng rộng rãi.
    • Ngoài ra còn có một vấn đề chuẩn mực rộng hơn: bảo mật theo mặc định so với bảo mật theo tùy chọn . Quan điểm của Wyden ngụ ý rằng các mặc định nên thiên về bảo mật, với độ mạnh của mật khẩu cao hơn, loại bỏ các thuật toán mã hóa yếu và cấu hình an toàn được tích hợp sẵn—chứ không phải là các tùy chọn bật/tắt tùy ý.
  • Bức thư của Thượng nghị sĩ Wyden gửi FTC nhấn mạnh sự kết hợp giữa an ninh mạng, quy định và trách nhiệm giải trình của doanh nghiệp. Vụ tấn công Ascension không chỉ là một sự cố đơn lẻ; nó còn là một nghiên cứu điển hình về việc các lỗi phần mềm phổ biến, tiêu chuẩn mã hóa yếu và khả năng tương thích cũ có thể kết hợp với nhau để gây ra các cuộc tấn công quy mô lớn vào cơ sở hạ tầng quan trọng.

    • Bức thư của Thượng nghị sĩ Wyden gửi FTC nhấn mạnh sự kết hợp giữa an ninh mạng, quy định và trách nhiệm giải trình của doanh nghiệp. Vụ tấn công Ascension không chỉ là một sự cố đơn lẻ; nó còn là một nghiên cứu điển hình về việc các lỗi phần mềm phổ biến, tiêu chuẩn mã hóa yếu và khả năng tương thích cũ có thể kết hợp với nhau để gây ra các cuộc tấn công quy mô lớn vào cơ sở hạ tầng quan trọng.

    Khi Microsoft bắt đầu loại bỏ dần các mật mã không an toàn và công bố hướng dẫn, câu hỏi trọng tâm vẫn là liệu các cơ chế quản lý có đòi hỏi sự thay đổi nhanh chóng hơn, thực thi các quy định mặc định tốt hơn và buộc các nhà cung cấp phải chịu trách nhiệm về việc tạo ra rủi ro hay không. Vấn đề này cần được xem xét kỹ lưỡng - không chỉ từ các nhà nghiên cứu bảo mật, mà còn từ các cơ quan quản lý, khách hàng doanh nghiệp và công chúng nói chung.

    Đang tải...