De Amerikaanse senator Ron Wyden heeft de Federal Trade Commission (FTC) opgeroepen om Microsoft te onderzoeken en verantwoordelijk te houden voor wat hij “bruto cybersecurity nalatigheid” noemde die ransomware -aanvallen op de kritieke infrastructuur van de VS mogelijk maakte, inclusief tegen gezondheidszorgnetwerken.
“Zonder tijdige actie vormt de cultuur van Microsoft van nalatige cybersecurity, gecombineerd met de feitelijke monopolisatie van de markt voor bedrijfssystemen, een ernstige dreiging van de nationale veiligheid en maakt extra hacks onvermijdelijk,” schreef Wyden in een brief van vier pagina’s aan FTC-voorzitter Andrew Ferguson, Redmond op een “Arsonisten die Firefight-diensten verkocht aan hun overwinningen.”
De ontwikkeling komt nadat het kantoor van Wyden nieuwe informatie heeft verkregen van Ascension Healthcare System, die vorig jaar een verlopende ransomware -aanval leed, wat resulteerde in de diefstal van persoonlijke en medische informatie die verband houdt met bijna 5,6 miljoen personen.
De ransomware -aanval, die ook de toegang tot elektronische gezondheidsdossiers verstoorde, werd toegeschreven aan een ransomware -groep die bekend staat als Black Basta. Volgens het Amerikaanse ministerie van Volksgezondheid en Human Services is de inbreuk gerangschikt als het op twee na grootste incident met de gezondheidszorg in het afgelopen jaar.
Volgens het kantoor van de senator vond de inbreuk plaats toen een aannemer op een kwaadwillende link klikte na het uitvoeren van een webzoektocht op de Bing -zoekmachine van Microsoft, waardoor hun systeem met malware werd geïnfecteerd. Vervolgens gebruikten de aanvallers “gevaarlijk onzekere standaardinstellingen” op Microsoft -software om verhoogde toegang te krijgen tot de meest gevoelige onderdelen van het netwerk van Ascension.
Dit omvatte het gebruik van een techniek genaamd Kerberoasting die zich richt op het Kerberos -authenticatieprotocol om gecodeerde service -accountgegevens uit Active Directory te extraheren.
Kerberoasting “exploiteert een onzekere coderingstechnologie uit de jaren 1980, bekend als ‘RC4’ die nog steeds wordt ondersteund door Microsoft Software in zijn standaardconfiguratie,” zei het kantoor van Wyden, en voegde eraan toe dat het Microsoft aanspoorde klanten te waarschuwen over de dreiging van de dreiging op 29 juli 2024.
RC4, kort voor Rivest Cipher 4, is een stroomcipher die voor het eerst werd ontwikkeld in 1987. Oorspronkelijk bedoeld als een handelsgeheim, het werd in 1994 op een openbaar forum gelekt. Vanaf 2015 heeft de Engineering Task Force (ETF) het gebruik van RC4 in TL’s verboden, het citeren van een “variëteit van cryptografische zwakheden”, die het herstel van de tekst toestaat.
Uiteindelijk publiceerde Microsoft een waarschuwing in oktober 2024 met de stappen die gebruikers kunnen nemen om beschermd te blijven, naast het vermelden van de plannen om ondersteuning voor RC4 te afschaffen als een toekomstige update van Windows 11 24H2 en Windows Server 2025 –
De accounts die het meest kwetsbaar zijn voor kerberoasting zijn die met zwakke wachtwoorden en die die zwakkere coderingsalgoritmen gebruiken, met name RC4. RC4 is gevoeliger voor de cyberaanval omdat het geen zout of herhaalde hash gebruikt bij het converteren van een wachtwoord naar een coderingssleutel, waardoor de cyberthreat -acteur snel meer wachtwoorden kan raden.
Andere coderingsalgoritmen zijn echter nog steeds kwetsbaar wanneer zwakke wachtwoorden worden gebruikt. Hoewel AD niet standaard probeert RC4 te gebruiken, is RC4 momenteel standaard ingeschakeld, wat betekent dat een cyberdreat -acteur kan proberen tickets te vragen die zijn gecodeerd met RC4. RC4 zal worden verouderd en we zijn van plan dit standaard uit te schakelen in een toekomstige update naar Windows 11 24H2 en Windows Server 2025.
Microsoft, die ondersteuning voor de gegevenscoderingstandaard (DES) in Kerberos voor Windows Server 2025 en Windows 11, versie 24H2 eerder in februari, heeft verwijderd, zei dat het ook beveiligingsverbeteringen in Server 2025 heeft geïntroduceerd die voorkomen dat het Kerberos-distributiecentrum tickets uitvoert met behulp van RC4-codering, zoals RC4-HMAC (NT).
Sommige van Microsoft’s aanbevolen mitigaties om omgevingen tegen kerberoasting te verharden, zijn onder meer –
- Gebruiksgroepbeheerderaccounts (GMSA) of gedelegeerde beheerde serviceaccounts (DMSA) gebruiken
- Serviceaccounts beveiligen door willekeurig gegenereerde, lange wachtwoorden in te stellen die minimaal 14 tekens lang zijn
- Zorg ervoor dat alle serviceaccounts zijn geconfigureerd om AES (128 en 256 bit) te gebruiken voor Kerberos -serviceticketcodering
- Auditingsgebruikersaccounts met Service Principal Namen (SPNS)
Wyden schreef echter dat de software van Microsoft geen wachtwoordlengte van 14 tekens afdwingt voor bevoorrechte accounts, en dat de voortdurende ondersteuning van het bedrijf voor de onzekere RC4-coderingstechnologie zijn klanten onnodig blootstelt aan ransomware en andere cyberdreigingen door aanvallers toe te staan om de wachtwoorden van bevoorrechte accounts te kraken.
The Hacker News heeft contact opgenomen met Microsoft voor commentaar en we zullen het verhaal bijwerken als we terug horen. Dit is niet de eerste keer dat de Windows -maker is neergeschoten vanwege zijn cybersecurity -praktijken.
In een rapport dat vorig jaar werd gepubliceerd, heeft de US Cyber Safety Review Board (CSRB) het bedrijf ontploffen voor een reeks vermijdbare fouten die de Chinese dreigingsactoren die bekend als Storm-0558 bekend staan, de Microsoft Exchange Online-mailboxen van 22 organisaties en meer dan 500 personen over de hele wereld in gevaar zouden kunnen brengen.
“Uiteindelijk heeft Microsoft’s verschrikkelijke cybersecurity trackrecord geen invloed gehad op zijn lucratieve federale contracten dankzij de dominante marktpositie en inactiviteit door overheidsinstanties in het licht van de reeks veiligheidsfalen van het bedrijf,” betoogde het kantoor van Wyden.
“De brief onderstreept een langdurige spanning in cybersecurity van ondernemingen, het evenwicht tussen legacy-systeemondersteuning en beveiligde-per-defaultontwerp,” zei Ensar Seker, Ciso bij Socradar. “Het gaat over systemisch risico dat wordt geërfd van standaardconfiguraties en de architecturale complexiteit van veel gebruikte software -ecosystemen zoals die van Microsoft. Wanneer een enkele leverancier fundamenteel wordt voor nationale infrastructuur, kunnen hun beveiligingsontwerpbeslissingen of gebrek daaraan een trapsgewijze consequenties hebben.”
“Uiteindelijk gaat dit niet over het beschuldigen van één bedrijf. Het gaat erom te erkennen dat de nationale veiligheid nu strak in combinatie is met de configuratie-standaardwaarden van dominante IT-platforms. Zowel ondernemingen als overheidsinstanties moeten zich veiliger moeten aanvragen en klaar zijn om zich aan te passen wanneer ze worden aangeboden.”
