Több licencre vonatkozó kedvezményes árajánlat
Számítógépes biztonság Wyden szenátor vizsgálatot indít az FTC ellen a Microsoft...

Wyden szenátor vizsgálatot indít az FTC ellen a Microsoft zsarolóvírus-sebezhetőségei miatt

Sandos -ra Számítógépes biztonság-ben
Fordítás ide:

Ron Wyden amerikai szenátor hivatalosan felszólította a Szövetségi Kereskedelmi Bizottságot (FTC), hogy vizsgálja ki a Microsoftot az Ascension egészségügyi szolgáltató elleni zsarolóvírus-támadást követően, amit ő „súlyos kiberbiztonsági hanyagságként” ír le. A szenátor aggodalma elsősorban arra összpontosul, hogy a Microsoft alapértelmezett szoftverkonfigurációi állítólag hogyan tették ki a kritikus infrastrukturális hálózatokat a támadásoknak.

A kiváltó ok: Az Ascension behatolása és technikai sebezhetőségek

  • Incidens áttekintése: Tavaly az Ascensiont, egy jelentős egészségügyi rendszert, zsarolóvírus-támadás érte, amelyet a Black Basta néven ismert csoport hajtott végre, közel 5,6 millió embert érintve. A behatolás adatlopással, valamint az elektronikus egészségügyi nyilvántartások megzavarásával járt.
  • Kezdeti vektor: Az Ascensionnél dolgozó alvállalkozó rákattintott egy rosszindulatú linkre, amelyet a Microsoft Bing keresőmotorján keresztül fedeztek fel. Ez a kattintás láncreakciókat indított el, amelyek lehetővé tették a támadók számára, hogy kihasználják a Microsoft szoftvereinek nem biztonságos alapértelmezett értékeit.
  • Alapértelmezett szoftvergyengeség: A szenátor levele szerint a Microsoft szoftvere veszélyesen bizonytalan alapértelmezett beállításokat tartalmaz. Az egyik kulcsfontosságú probléma az RC4 titkosítás támogatása a Kerberos hitelesítési protokollon belül. Az RC4 egy régi titkosítás, amelyet a kriptográfiai kutatások nem biztonságosnak tartanak. Bár sok modern rendszerben elavult, a Microsoft esetében alapértelmezés szerint engedélyezve maradt. Ez lehetővé tette a támadók számára, hogy a Kerberoasting néven ismert technikát használják a szolgáltatásfiók hitelesítő adatainak kinyerésére az Active Directoryból.

Technikai részletek: Kerberoasting, alapértelmezett titkosítások és kihasználható gyengeségek

  • Kerberosting magyarázata: Egy Active Directory környezetben a szolgáltatásnévvel (SPN) rendelkező szolgáltatásfiókok Kerberos jegyeket kérnek. Ha ezek a jegyek gyenge titkosítással, például RC4-gyel vannak titkosítva, a támadó megszerezheti a jegyet, majd offline támadásokat (pl. nyers erő vagy kriptoanalízis) hajthat végre a szolgáltatásfiók egyszerű szöveges hitelesítő adatainak vagy titkos adatainak visszaszerzésére. Ebben az esetben Wyden irodája azt állítja, hogy a behatolás ezeket az RC4-gyel védett jegyeket használta fel.
  • Az RC4 fontos: Az RC4 (Rivest Cipher 4), egy az 1980-as évek végén kifejlesztett adatfolyam-rejtjel évtizedek óta ismert a sebezhetőségeiről – a kulcsfolyamában mutatkozó torzításokról és a sima szöveg visszaállítására való hajlamról. A szabványügyi testületek (pl. az IETF) a 2010-es évek közepe óta tiltják a használatát biztonságos csatornákon, különösen a TLS-ben, ezen hibák miatt. A Microsoft alapértelmezés szerint továbbra is támogatta az RC4-et a Kerberosban, ami Wyden szerint „feleslegesen kiteszi” az ügyfeleket a gyenge jelszavak használatakor.
  • Jelszó erőssége és szolgáltatásfiókok: A szenátor azt is kiemeli, hogy a Microsoft nem kényszeríti ki az erős jelszószabályzatokat (pl. minimum 14 karakteres, véletlenszerűen generált jelszavakat) a szolgáltatásfiókok esetében, és nem írja elő erősebb titkosítási kódok (AES-128 vagy AES-256) használatát a Kerberos szolgáltatásjegyek titkosításához, amikor SPN-ek vannak érvényben. Ezek a gyenge szabályzatok a gyenge alapértelmezett titkosítással kombinálva növelik a hitelesítő adatok veszélyeztetésének kockázatát.
  • A Microsoft által ajánlott enyhítések: Wyden levelére válaszul a Microsoft közzétett egy útmutatót, és bejelentette, hogy tervezi az RC4 használatának fokozatos megszüntetését. Olyan lépéseket is felvázolt, mint a csoportosan felügyelt szolgáltatásfiókok (gMSA) vagy a delegált felügyelt szolgáltatásfiókok (dMSA) használata, az SPN-ekkel rendelkező fiókok naplózása, a jegytitkosítási algoritmusok frissítése, valamint erős, véletlenszerűen generált jelszavak beállítása a privilegizált fiókokhoz. A Microsoft továbbá közzétette, hogy a Windows Server 2025-öt használó új Active Directory-tartományokban az RC4 alapértelmezés szerint le lesz tiltva 2026 első negyedévétől kezdődően.

    • Szabályozási és irányelvekkel kapcsolatos állítások

    • Wyden szenátor kritikája túlmutat egyetlen jogsértésen. Andrew Fergusonnak, az FTC elnökének írt négyoldalas levelében a Microsoftot rendszerszintű problémaként jellemzi: a „gondatlan kiberbiztonság kultúrája”, amelyet a vállalati operációs rendszerek feletti szinte monopolhelyzete súlyosbít. Wyden éles metaforikus nyelvezetet használ, a Microsoftot „egy gyújtogatóhoz” hasonlítva, aki „tűzoltói szolgáltatásokat árul áldozatainak”.
    • A levél azt állítja, hogy a Microsoft alapértelmezett konfigurációi (azaz a régi rendszerek engedélyezése, a nem biztonságos titkosítás alapértelmezés szerint, az engedékeny jelszószabályzatok) idővel gyengítették az alapvető védelmet számos szervezetben – különösen az egészségügyben és a kritikus infrastruktúrában működőknél. A felvetés az, hogy az alapértelmezett értékek és a konfiguráció elhanyagolása nemcsak informatikai probléma, hanem nemzetbiztonsági aggály is.

    A Microsoft válasza

    • Elismeri, hogy az RC4 elavult , és hogy a Microsoft nem javasolja a használatát „a szoftverfejlesztésben és az ügyfeleknek szóló dokumentációban”. A vállalat azt állítja, hogy forgalmának kevesebb mint 0,1%-a használja még mindig az RC4-et. A Microsoft ugyanakkor aggodalmát fejezi ki amiatt, hogy az RC4 azonnali teljes letiltása kompatibilitási problémákat okozhat a meglévő környezetekkel.
  • A Microsoft elkötelezte magát az RC4 támogatás fokozatos megszüntetése mellett, miközben továbbra is határozott figyelmeztetéseket és útmutatást nyújt az ügyfeleknek. Ezenkívül a Microsoft megjegyzi, hogy a Windows Server 2025 új AD-tartományai alapértelmezés szerint letiltják az RC4 titkosítást.

    • Biztonsági kockázatértékelés

    • Támadási felület és kaszkádszerű következmények: Amikor a szoftvergyártók alapértelmezés szerint gyenge titkosítást vagy gyenge jelszószabályzatokat engedélyeznek, „könnyű választási lehetőséget” biztosítanak a támadóknak. Még a biztonságtudatos rendszergazdák is örökölhetnek olyan konfigurációkat, amelyek engedélyezik az RC4-et vagy a gyenge hitelesítő adatokat, különösen olyan környezetekben, ahol a folytonosság és a régi rendszerekkel való kompatibilitás nagy hangsúlyt kap.
    • Sebezhetőségi kihasználások: A Kerberoasting támadások nem spekulatívak; ismertek, dokumentáltak, és számos incidensben sikeresen alkalmazták őket. Miután a szolgáltatásfiók hitelesítő adatai veszélybe kerültek, a támadók oldalirányban mozoghatnak, jogosultságokat növelhetnek, és hozzáférhetnek érzékeny eszközökhöz. Az egészségügyi intézményekben ez magában foglalhatja a személyes egészségügyi adatokat, az IoT orvostechnikai eszközöket és a kritikus infrastruktúrát.
    • Szabályozási és bizalmi vonatkozások: Mivel a Microsoft mélyen beágyazódott számos kritikus infrastruktúrába és vállalati környezetbe, az alapértelmezett biztonság konfigurálásának hibái automatikusan áthárítják a védelem terhét azokra a szervezetekre, amelyeknek esetleg nincs szakértelmük, erőforrásaik vagy láthatóságuk az ilyen gyengeségek észleléséhez. A hírnévkárosodás és a felelősség kockázata jelentős.

    Szabályozási következmények

    • Wyden szenátor állítása fontos kérdéseket vet fel a termékfelelősséggel , az alapértelmezett biztonsági beállításokkal és a szállítói felelősséggel kapcsolatban. Milyen mértékben kellene a szoftverszállítókat felelősségre vonni a nem biztonságos alapértelmezett beállításokért?
    • Az olyan szabályozási eszközök , mint az FTC hatásköre a „tisztességtelen vagy megtévesztő cselekmények vagy gyakorlatok” kivizsgálására, alkalmazhatók a szoftverbiztonsági hanyagság esetén. Ha a Microsoftot gondatlanságban találják, az precedenst teremthet a széles körben használt szoftverek alapértelmezett konfigurációinak, titkosítási szabványainak és jelszókövetelményeinek szabályozására vonatkozóan.
    • Van egy tágabb normatív kérdés is: az alapértelmezett biztonság vs. opciónkénti biztonság . Wyden álláspontja azt sugallja, hogy az alapértelmezett értékeknek a biztonság oldalán kell állniuk, nagyobb jelszóerősséggel, a gyenge kriptográfiai algoritmusok elavulásával és beépített biztonságos konfigurációkkal – nem opcionális kapcsolóként.
  • Wyden szenátor Szövetségi Kereskedelmi Bizottságnak írt levele rávilágít a kiberbiztonság, a szabályozás és a vállalati elszámoltathatóság összefonódására. Az Ascension elleni incidens több mint egyetlen incidens; esettanulmányként szolgál arra vonatkozóan, hogy a széles körben használt szoftveralapértelmezések, a gyenge titkosítási szabványok és a régi szoftverek kompatibilitása hogyan válthatnak ki nagyszabású támadásokat a kritikus infrastruktúrák ellen.

    • Wyden szenátor Szövetségi Kereskedelmi Bizottságnak írt levele rávilágít a kiberbiztonság, a szabályozás és a vállalati elszámoltathatóság összefonódására. Az Ascension elleni incidens több mint egyetlen incidens; esettanulmányként szolgál arra vonatkozóan, hogy a széles körben használt szoftveralapértelmezések, a gyenge titkosítási szabványok és a régi szoftverek kompatibilitása hogyan válthatnak ki nagyszabású támadásokat a kritikus infrastruktúrák ellen.

    Miközben a Microsoft elkezdi fokozatosan kivezetni a nem biztonságos titkosításokat és útmutatókat tesz közzé, a központi kérdés továbbra is az, hogy a szabályozási mechanizmusok gyorsabb változásokat követelnek-e meg, jobb alapértelmezett értékeket érvényesítenek-e, és felelősségre vonják-e a szállítókat a kockázatok lehetővé tételéért. Ez a kérdés alapos vizsgálatot érdemel – nemcsak a biztonsági kutatók, hanem a szabályozók, a vállalati ügyfelek és a nagyközönség részéről is.

    Betöltés...