参议员怀登推动联邦贸易委员会对微软勒索软件漏洞展开调查
美国参议员罗恩·怀登正式呼吁联邦贸易委员会 (FTC) 对微软展开调查,称其在医疗服务提供商 Ascension 遭受勒索软件攻击后存在“严重的网络安全疏忽”。怀登的担忧主要集中在微软的默认软件配置涉嫌导致关键基础设施网络遭受攻击。
目录
触发因素:升天漏洞和技术漏洞
- 事件概述:去年,大型医疗保健系统 Ascension 遭受了名为Black Basta 的组织发起的勒索软件攻击,近560 万人受到影响。此次攻击涉及数据盗窃以及电子健康记录的破坏。
- 初始向量: Ascension 的一名承包商点击了通过微软必应搜索引擎发现的恶意链接。此次点击引发了连锁反应,使攻击者得以利用微软软件中不安全的默认设置。
- 默认软件漏洞:根据参议员的信函,微软的软件包含危险的不安全默认设置。一个关键问题是 Kerberos 身份验证协议中对RC4 加密的支持。RC4 是一种被密码学研究认为不安全的传统密码。尽管在许多现代系统中已被弃用,但在微软的系统中,它仍然默认启用。这使得攻击者能够使用一种称为Kerberoasting 的技术从 Active Directory 中提取服务帐户凭据。
技术细节:Kerberoasting、默认密码和可利用的弱点
- Kerberos 煅烧攻击详解:在 Active Directory 环境中,具有服务主体名称 (SPN) 的服务帐户会请求 Kerberos 票证。如果这些票证使用 RC4 等弱密码加密,攻击者便可获取票证,然后执行离线攻击(例如暴力破解或密码分析)来恢复服务帐户的明文凭据或机密信息。在本案中,Wyden 办公室声称此次入侵利用了这些受 RC4 保护的票证。
监管和政策指控
- 怀登参议员的批评远不止于单一的违规行为。在他致联邦贸易委员会主席安德鲁·弗格森的长达四页的信中,他将微软描述为一个系统性问题:一种“疏忽网络安全的文化”,其对企业操作系统的近乎垄断加剧了这种文化。怀登使用了尖锐的比喻,称微软就像“一个向受害者兜售消防服务的纵火犯”。
- 这封信声称,微软的默认配置(例如默认启用过时的、不安全的加密、宽松的密码策略)随着时间的推移削弱了许多组织(尤其是医疗保健和关键基础设施领域的组织)的基线保护。这表明,默认设置和配置方面的疏忽不仅仅是一个IT问题,更是一个国家安全隐患。
微软的回应
- 承认RC4 已过时,微软“在软件设计以及客户文档中”不鼓励使用它。该公司声称,其流量中仍有不到 0.1% 在使用 RC4。然而,微软也表示担心,立即完全禁用 RC4 可能会导致与现有环境的兼容性问题。
安全风险评估
- 攻击面和连锁后果:当软件供应商默认允许弱加密或弱密码策略时,它们会为攻击者提供“轻而易举的攻击机会”。即使是安全意识强的系统管理员,也可能会继承允许 RC4 或弱凭证的配置,尤其是在高度重视连续性和传统兼容性的环境中。
- 漏洞利用: Kerberos 煅烧攻击并非推测性的攻击;它们是已知的、有记录的,并且已在多起入侵事件中成功利用。一旦服务帐户凭据被盗,攻击者就可以横向移动、提升权限并访问敏感资产。在医疗保健领域,这包括个人健康数据、物联网医疗设备和关键基础设施。
- 监管和信任影响:由于微软深度融入众多关键基础设施和企业环境,默认安全配置失败会自动将防御负担转移给那些可能缺乏专业知识、资源或可见性来检测此类漏洞的组织。这将造成巨大的声誉损害和责任风险。
监管影响
- 怀登参议员的指控提出了关于产品责任、默认安全设置以及供应商责任的重要问题。软件供应商应该在多大程度上对不安全的默认设置负责?
- 诸如联邦贸易委员会(FTC)调查“不公平或欺骗性行为或做法”的权力之类的监管工具,或许可以适用于软件安全疏忽。如果微软被认定存在疏忽,这可能会为广泛使用的软件中默认配置、加密标准和密码要求的监管方式开创先例。
- 还有一个更广泛的规范问题:默认安全vs.可选安全。Wyden 的立场意味着默认设置应该偏向安全,密码强度更高,弱加密算法弃用,安全配置内置——而不是可选的切换开关。
怀登参议员致联邦贸易委员会的信函凸显了网络安全、监管和企业责任之间的交织。Ascension 漏洞并非单一事件;它提供了一个案例研究,探讨了广泛使用的软件默认设置、薄弱的加密标准以及遗留兼容性如何共同引发针对关键基础设施的大规模攻击。
随着微软开始逐步淘汰不安全的密码并发布指南,核心问题仍然是监管机制是否会要求更快速的变革,强制执行更好的默认设置,并追究供应商对风险的责任。这个问题值得密切关注——不仅来自安全研究人员,也来自监管机构、企业客户以及广大公众。