參議員懷登推動聯邦貿易委員會對微軟勒索軟體漏洞展開調查
美國參議員羅恩懷登正式呼籲聯邦貿易委員會 (FTC) 對微軟展開調查,稱其在醫療服務提供商 Ascension 遭受勒索軟體攻擊後存在「嚴重的網路安全疏忽」。懷登的擔憂主要集中在微軟的預設軟體配置涉嫌導致關鍵基礎設施網路遭受攻擊。
目錄
觸發因素:升天漏洞和技術漏洞
- 事件概述:去年,大型醫療保健系統 Ascension 遭受了名為Black Basta 的組織發起的勒索軟體攻擊,近560 萬人受到影響。這次攻擊涉及資料竊取以及電子健康記錄的破壞。
- 初始向量: Ascension 的一名承包商點擊了透過微軟必應搜尋引擎發現的惡意連結。這次點擊引發了連鎖反應,使攻擊者得以利用微軟軟體中不安全的預設設定。
- 預設軟體漏洞:根據參議員的信函,微軟的軟體包含危險的不安全預設設定。一個關鍵問題是 Kerberos 驗證協定中對RC4 加密的支援。 RC4 是一種被密碼學研究認為不安全的傳統密碼。儘管在許多現代系統中已被棄用,但在微軟的系統中,它仍然預設為啟用。這使得攻擊者能夠使用稱為Kerberoasting 的技術從 Active Directory 中提取服務帳戶憑證。
技術細節:Kerberoasting、預設密碼和可利用的弱點
- Kerberos 煅燒攻擊詳細資料:在 Active Directory 環境中,具有服務主體名稱 (SPN) 的服務帳戶會要求 Kerberos 票證。如果這些票證使用 RC4 等弱密碼加密,攻擊者便可取得票證,然後執行離線攻擊(例如暴力破解或密碼分析)來恢復服務帳戶的明文憑或機密資訊。在本案中,Wyden 辦公室聲稱這次入侵利用了這些受 RC4 保護的票證。
監管和政策指控
- 懷登參議員的批評遠不止於單一的違規行為。在他致聯邦貿易委員會主席安德魯·弗格森的長達四頁的信中,他將微軟描述為一個系統性問題:一種“疏忽網路安全的文化”,其對企業作業系統的近乎壟斷加劇了這種文化。懷登使用了尖銳的比喻,稱微軟就像「一個向受害者兜售消防服務的縱火犯」。
- 這封信聲稱,微軟的預設配置(例如預設啟用過時的、不安全的加密、寬鬆的密碼策略)隨著時間的推移削弱了許多組織(尤其是醫療保健和關鍵基礎設施領域的組織)的基線保護。這表明,預設和配置方面的疏忽不僅僅是一個IT問題,更是一個國家安全隱患。
微軟的回應
- 承認RC4 已過時,微軟「在軟體設計以及客戶文件中」不鼓勵使用它。該公司聲稱,其流量中仍有不到 0.1% 在使用 RC4。然而,微軟也表示擔心,立即完全停用 RC4 可能會導致與現有環境的相容性問題。
安全風險評估
- 攻擊面和連鎖後果:當軟體供應商預設允許弱加密或弱密碼策略時,它們會為攻擊者提供「輕而易舉的攻擊機會」。即使是安全意識強的系統管理員,也可能會繼承允許 RC4 或弱憑證的配置,尤其是在高度重視連續性和傳統相容性的環境中。
- 漏洞利用: Kerberos 煅燒攻擊並非推測性的攻擊;它們是已知的、有記錄的,並且已在多起入侵事件中成功利用。一旦服務帳戶憑證被盜,攻擊者就可以橫向移動、提升權限並存取敏感資產。在醫療保健領域,這包括個人健康數據、物聯網醫療設備和關鍵基礎設施。
- 監管和信任影響:由於微軟深度融入眾多關鍵基礎設施和企業環境,預設安全配置失敗會自動將防禦負擔轉移給那些可能缺乏專業知識、資源或可見性來偵測此類漏洞的組織。這將造成巨大的聲譽損害和責任風險。
監管影響
- 懷登參議員的指控提出了關於產品責任、預設安全設定以及供應商責任的重要問題。軟體供應商應該在多大程度上對不安全的預設設定負責?
- 諸如聯邦貿易委員會(FTC)調查「不公平或欺騙性行為或做法」的權力之類的監管工具,或許可以適用於軟體安全疏忽。如果微軟被認定有疏忽,這可能會為廣泛使用的軟體中預設配置、加密標準和密碼要求的監管方式開創先例。
- 還有一個更廣泛的規範問題:預設安全vs.可選安全。 Wyden 的立場意味著預設應該偏向安全,密碼強度更高,弱加密演算法棄用,安全配置內建——而不是可選的切換開關。
懷登參議員致聯邦貿易委員會的信函凸顯了網路安全、監管和企業責任之間的交織。 Ascension 漏洞並非單一事件;它提供了一個案例研究,探討了廣泛使用的軟體預設、薄弱的加密標準以及遺留相容性如何共同引發針對關鍵基礎設施的大規模攻擊。
隨著微軟開始逐步淘汰不安全的密碼並發布指南,核心問題仍然是監管機制是否會要求更快速的變革,強制執行更好的預設設置,並追究供應商對風險的責任。這個問題值得密切關注──不僅來自安全研究人員,也來自監管機構、企業客戶以及廣大民眾。