Сенатор США Рон Уайден обратился в Федеральную торговую комиссию (FTC) с требованием провести расследование и наложить взыскания на Microsoft за «грубую халатность в области кибербезопасности». В четырехстраничном письме на имя председателя FTC Эндрю Фергюсона сенатор утверждает, что небезопасные настройки по умолчанию и поддержка устаревших технологий создали серьезную угрозу для критически важной инфраструктуры страны. Уайден сравнил Microsoft с «поджигателем, который продает своим жертвам услуги по тушению пожаров», заявив, что «культура халатной кибербезопасности» и «фактическая монополизация» компании делают новые взломы неизбежными.
Толчком к действиям сенатора послужила кибератака программы-вымогателя на систему здравоохранения Ascension, произошедшая в прошлом году. Ответственность за инцидент взяла на себя группировка Black Basta. В результате атаки были похищены личные и медицинские данные почти 5,6 миллиона человек, а также нарушен доступ к электронным медицинским картам. Министерство здравоохранения и социальных служб США классифицировало это событие как третий по величине инцидент в сфере здравоохранения за последний год. Первоначальной точкой входа для злоумышленников стал подрядчик, который перешел по вредоносной ссылке после выполнения поиска в поисковой системе Microsoft Bing.
Хакеры применили технику атаки под названием Kerberoasting. Этот метод нацелен на протокол аутентификации Kerberos с целью извлечения зашифрованных учетных данных служебных аккаунтов из Active Directory. Успех атаки стал возможен из-за «опасно небезопасных настроек по умолчанию» в программном обеспечении Microsoft, в частности из-за продолжающейся поддержки устаревшего шифра RC4 (Rivest Cipher 4).
RC4, потоковый шифр, был разработан еще в 1987 году и являлся коммерческой тайной до тех пор, пока не был слит на публичный форум в 1994 году. Еще в 2015 году Инженерная рабочая группа (ETF) запретила использование RC4 в протоколе TLS из-за его «криптографических слабостей». Ключевая уязвимость заключается в том, что RC4 не использует «соль или итерированный хеш» при преобразовании пароля в ключ шифрования, что позволяет злоумышленникам значительно быстрее подбирать пароли.
Офис сенатора Уайдена призвал Microsoft предупредить клиентов об этой угрозе еще 29 июля 2024 года. В ответ компания опубликовала уведомление с описанием защитных мер только в октябре 2024 года. Microsoft заявила о планах прекратить поддержку RC4 и отключить его по умолчанию в будущих обновлениях Windows 11 24H2 и Windows Server 2025.
В феврале Microsoft уже предприняла шаги по повышению безопасности, удалив поддержку стандарта шифрования данных (DES) в Kerberos для Windows Server 2025 и Windows 11 версии 24H2. В Server 2025 также были внедрены улучшения, чтобы предотвратить выдачу центром распределения Kerberos билетов с использованием шифрования RC4, такого как RC4-HMAC(NT).
Для защиты от подобных атак Microsoft рекомендует клиентам использовать групповые управляемые учетные записи служб (gMSA) или делегированные управляемые учетные записи служб (dMSA). Также компания советует использовать для сервисных аккаунтов длинные (14+ символов), случайно сгенерированные пароли, настраивать учетные записи на использование шифрования AES (128 и 256 бит) и проводить аудит учетных записей с именами субъектов-служб (SPN).
Сенатор Уайден отмечает, что программное обеспечение Microsoft само по себе не обеспечивает принудительное использование рекомендованной длины пароля в 14 символов для привилегированных учетных записей. Это не первый случай серьезной критики в адрес компании. В прошлом году Совет по обзору кибербезопасности США (CSRB) опубликовал отчет, в котором раскритиковал Microsoft за «серию предотвратимых ошибок».
Этот отчет был посвящен инциденту, в ходе которого китайские хакеры, известные как Storm-0558, скомпрометировали почтовые ящики Microsoft Exchange Online 22 организаций и более 500 частных лиц по всему миру. Офис Уайдена подчеркивает, что «ужасающий послужной список в области кибербезопасности» Microsoft не оказывает негативного влияния на ее прибыльные федеральные контракты из-за доминирующего положения компании на рынке.
Энсар Секер, директор по информационной безопасности компании SOCRadar, отмечает, что данная ситуация выявляет фундаментальное противоречие в кибербезопасности между необходимостью поддержки устаревших систем и принципом «безопасности по умолчанию». По его словам, существует «системный риск, унаследованный от конфигураций по умолчанию», который имеет далеко идущие последствия.
Когда один поставщик, такой как Microsoft, является основой национальной инфраструктуры, его решения в области безопасности, или их отсутствие, могут вызывать «каскадные последствия». Национальная безопасность теперь «тесно связана с настройками по умолчанию доминирующих ИТ-платформ», и клиенты должны требовать от поставщиков более безопасных продуктов, разработанных с учетом современных угроз.
Изображение носит иллюстративный характер
Толчком к действиям сенатора послужила кибератака программы-вымогателя на систему здравоохранения Ascension, произошедшая в прошлом году. Ответственность за инцидент взяла на себя группировка Black Basta. В результате атаки были похищены личные и медицинские данные почти 5,6 миллиона человек, а также нарушен доступ к электронным медицинским картам. Министерство здравоохранения и социальных служб США классифицировало это событие как третий по величине инцидент в сфере здравоохранения за последний год. Первоначальной точкой входа для злоумышленников стал подрядчик, который перешел по вредоносной ссылке после выполнения поиска в поисковой системе Microsoft Bing.
Хакеры применили технику атаки под названием Kerberoasting. Этот метод нацелен на протокол аутентификации Kerberos с целью извлечения зашифрованных учетных данных служебных аккаунтов из Active Directory. Успех атаки стал возможен из-за «опасно небезопасных настроек по умолчанию» в программном обеспечении Microsoft, в частности из-за продолжающейся поддержки устаревшего шифра RC4 (Rivest Cipher 4).
RC4, потоковый шифр, был разработан еще в 1987 году и являлся коммерческой тайной до тех пор, пока не был слит на публичный форум в 1994 году. Еще в 2015 году Инженерная рабочая группа (ETF) запретила использование RC4 в протоколе TLS из-за его «криптографических слабостей». Ключевая уязвимость заключается в том, что RC4 не использует «соль или итерированный хеш» при преобразовании пароля в ключ шифрования, что позволяет злоумышленникам значительно быстрее подбирать пароли.
Офис сенатора Уайдена призвал Microsoft предупредить клиентов об этой угрозе еще 29 июля 2024 года. В ответ компания опубликовала уведомление с описанием защитных мер только в октябре 2024 года. Microsoft заявила о планах прекратить поддержку RC4 и отключить его по умолчанию в будущих обновлениях Windows 11 24H2 и Windows Server 2025.
В феврале Microsoft уже предприняла шаги по повышению безопасности, удалив поддержку стандарта шифрования данных (DES) в Kerberos для Windows Server 2025 и Windows 11 версии 24H2. В Server 2025 также были внедрены улучшения, чтобы предотвратить выдачу центром распределения Kerberos билетов с использованием шифрования RC4, такого как RC4-HMAC(NT).
Для защиты от подобных атак Microsoft рекомендует клиентам использовать групповые управляемые учетные записи служб (gMSA) или делегированные управляемые учетные записи служб (dMSA). Также компания советует использовать для сервисных аккаунтов длинные (14+ символов), случайно сгенерированные пароли, настраивать учетные записи на использование шифрования AES (128 и 256 бит) и проводить аудит учетных записей с именами субъектов-служб (SPN).
Сенатор Уайден отмечает, что программное обеспечение Microsoft само по себе не обеспечивает принудительное использование рекомендованной длины пароля в 14 символов для привилегированных учетных записей. Это не первый случай серьезной критики в адрес компании. В прошлом году Совет по обзору кибербезопасности США (CSRB) опубликовал отчет, в котором раскритиковал Microsoft за «серию предотвратимых ошибок».
Этот отчет был посвящен инциденту, в ходе которого китайские хакеры, известные как Storm-0558, скомпрометировали почтовые ящики Microsoft Exchange Online 22 организаций и более 500 частных лиц по всему миру. Офис Уайдена подчеркивает, что «ужасающий послужной список в области кибербезопасности» Microsoft не оказывает негативного влияния на ее прибыльные федеральные контракты из-за доминирующего положения компании на рынке.
Энсар Секер, директор по информационной безопасности компании SOCRadar, отмечает, что данная ситуация выявляет фундаментальное противоречие в кибербезопасности между необходимостью поддержки устаревших систем и принципом «безопасности по умолчанию». По его словам, существует «системный риск, унаследованный от конфигураций по умолчанию», который имеет далеко идущие последствия.
Когда один поставщик, такой как Microsoft, является основой национальной инфраструктуры, его решения в области безопасности, или их отсутствие, могут вызывать «каскадные последствия». Национальная безопасность теперь «тесно связана с настройками по умолчанию доминирующих ИТ-платформ», и клиенты должны требовать от поставщиков более безопасных продуктов, разработанных с учетом современных угроз.
