El senador estadounidense Ron Wyden ha pedido a la Comisión Federal de Comercio (FTC) que investigue a Microsoft y lo responsabilice de lo que llamó «negligencia bruta de seguridad cibernética» que permitió los ataques de ransomware contra la infraestructura crítica de los Estados Unidos, incluso contra las redes de atención médica.
«Sin una influencia oportuna, la civilización de ciberseguridad negligente de Microsoft, combinada con su monopolización de facto del mercado de sistemas operativos empresariales, plantea una seria amenaza de seguridad doméstico y hace que los hacks adicionales inevitables», Wyden, escribió Wyden en una carta de cuatro páginas a sus víctimas de la FTC Andrew Ferguson, que le gusta a Redmond a un «Arsonista que vende a los Servicios de Fires a sus víctimas a sus víctimas» «.
El avance se produce posteriormente de que la oficina de Wyden obtuvo nueva información del sistema de vitalidad Ascension, que sufrió un ataque de ransomware paralizante el año pasado, lo que resultó en el robo de información personal y médica asociada con casi 5.6 millones de personas.
El ataque de ransomware, que incluso interrumpió el ataque a los registros de vitalidad electrónicos, se atribuyó a un conjunto de ransomware conocido como Black Pespunte. Según el Área de Lozanía y Servicios Humanos de EE. UU., La violación se ha clasificado como el tercer veterano incidente relacionado con la atención médica durante el año pasado.
Según la oficina del senador, la violación se produjo cuando un contratista hizo clic en un enlace receloso posteriormente de realizar una búsqueda web en el motor de búsqueda de Bing de Microsoft, lo que provocó que su sistema se infectara con malware. Seguidamente, los atacantes aprovecharon la «configuración predeterminada peligrosamente insegura» en el software Microsoft para obtener ataque elevado a las partes más sensibles de la red de Ascension.
Esto implicó el uso de una técnica emplazamiento Kerberoasting que se dirige al protocolo de autenticación Kerberos para extraer credenciales de cuenta de servicio cifradas de Active Directory.
Kerberoasting «explota una tecnología de criptográfico inseguro de la plazo de 1980 conocida como ‘RC4’ que todavía es compatible con Microsoft Software en su configuración predeterminada», dijo la oficina de Wyden, y agregó que instó a Microsoft a advertir a los clientes sobre la amenaza planteada por la amenaza el 29 de julio de 2024.
RC4, sigla de Rivest Cipher 4, es un criptográfico de transmisión que se desarrolló por primera vez en 1987. Originalmente pretendía ser un secreto comercial, se filtró en un foro manifiesto en 1994. A partir de 2015, el conjunto de trabajo de ingeniería (ETF) ha prohibido el uso de RC4 en TLS, citando una «variedad de deberes criptográficas» que permiten la recuperación de la historia de la historia.
Finalmente, Microsoft publicó una alerta en octubre de 2024 que describe los pasos que los usuarios pueden seguir para mantenerse protegidos, encima de determinar sus planes para desaprobar el soporte para RC4 como una modernización futura de Windows 11 24h2 y Windows Server 2025 –
Las cuentas más vulnerables a la kerberoasting son aquellas con contraseñas débiles y aquellas que usan algoritmos de criptográfico más débiles, especialmente RC4. RC4 es más susceptible al ciberataque porque no usa sal o hash iterado al convertir una contraseña a una esencia de criptográfico, lo que permite al actor cibernético adivinar más contraseñas rápidamente.
Sin confiscación, otros algoritmos de criptográfico siguen siendo vulnerables cuando se utilizan contraseñas débiles. Si acertadamente AD no intentará usar RC4 de forma predeterminada, RC4 está actualmente gestor de forma predeterminada, lo que significa que un actor cibernético puede intentar solicitar boletos encriptados con RC4. RC4 estará en desuso y tenemos la intención de deshabilitarlo de forma predeterminada en una modernización futura de Windows 11 24h2 y Windows Server 2025.
Microsoft, que eliminó el soporte para el unificado de criptográfico de datos (DES) en Kerberos para Windows Server 2025 y Windows 11, lectura 24h2 a principios de febrero, dijo que incluso ha introducido mejoras de seguridad en el servidor 2025 que evitan que el Centro de distribución de Kerberos emite tickets con tickets con el criptográfico RC4, como RC4-HMAC (NT).
Algunas de las mitigaciones recomendadas de Microsoft para insensibilizar los entornos contra la kerberoasting incluyen –
- Uso de cuentas de servicio administradas en el conjunto (GMSA) o cuentas de servicio administrados (DMSA) siempre que sea posible
- Asegurando cuentas de servicio estableciendo contraseñas largas generadas aleatoriamente que tienen al menos 14 caracteres de extenso
- Cerciorarse de que todas las cuentas de servicio estén configuradas para usar AES (128 y 256 bits) para el criptográfico de boletos de servicio de Kerberos
- Auditar cuentas de favorecido con nombres principales de servicio (SPNS)
Sin confiscación, Wyden escribió que el software de Microsoft no aplica una largo de contraseña de 14 caracteres para cuentas privilegiadas, y que el continuo soporte de la compañía para la tecnología de criptográfico RC4 insegura «expone» innecesariamente a sus clientes a ransomware y otras amenazas cibernéticas al permitir que los atacantes descifraran las contraseñas de cuentas privilegiadas.
Hacker News se ha comunicado con Microsoft para hacer comentarios, y actualizaremos la historia si recibimos parte. Esta no es la primera vez que el fabricante de Windows ha sido criticado por sus prácticas de ciberseguridad.
En un referencia publicado el año pasado, la Asociación de Revisión de Seguridad Cibernética de los Estados Unidos (CSRB) criticó a la compañía por una serie de errores evitables que podrían favor evitado que los actores de amenaza chinos conocidos como Storm-0558 comprometieran los buzones en rasgo de Microsoft Exchange de 22 organizaciones y más de 500 personas en todo el mundo.
«En última instancia, el historial abismal de seguridad cibernética de Microsoft no ha tenido impacto en sus lucrativos contratos federales gracias a su posición de mercado dominante y su inacción por parte de las agencias gubernamentales frente a la serie de fallas de seguridad de la compañía», argumentó la oficina de Wyden.
«La carta subraya una tensión de larga data en la ciberseguridad empresarial, el estabilidad entre el soporte del sistema heredado y el diseño seguro por default», dijo Ensar Seker, CISO en Socrarradar. «Se proxenetismo de un aventura sistémico heredado de las configuraciones predeterminadas y la complejidad arquitectónica de ecosistemas de software ampliamente adoptados como el de Microsoft. Cuando un solo proveedor se vuelve fundamental para la infraestructura doméstico, sus decisiones de diseño de seguridad o la desatiendo de ellos, pueden tener consecuencias en cascada».
«En última instancia, se proxenetismo de culpar a una compañía. Se proxenetismo de declarar que la seguridad doméstico ahora está estrechamente combinada con los títulos predeterminados de configuración de las plataformas de TI dominantes. Las empresas y las agencias del sector manifiesto deben exigir predeterminados más seguros por diseño y estar listos para adaptarse cuando se les ofrece».
