El senador estadounidense Ron Wyden ha pedido a la Comisión Federal de Comercio (FTC) que investigue a Microsoft y lo responsabilice de lo que llamó “negligencia bruta de seguridad cibernética” que permitió los ataques de ransomware contra la infraestructura crítica de los Estados Unidos, incluso contra las redes de atención médica.
“Sin una movimiento oportuna, la civilización de ciberseguridad negligente de Microsoft, combinada con su monopolización de facto del mercado de sistemas operativos empresariales, plantea una seria amenaza de seguridad doméstico y hace que los hacks adicionales inevitables”, Wyden, escribió Wyden en una carta de cuatro páginas a sus víctimas de la FTC Andrew Ferguson, que le gusta a Redmond a un “Arsonista que vende a los Servicios de Fires a sus víctimas a sus víctimas” “.
El explicación se produce luego de que la oficina de Wyden obtuvo nueva información del sistema de sanidad Ascension, que sufrió un ataque de ransomware paralizante el año pasado, lo que resultó en el robo de información personal y médica asociada con casi 5.6 millones de personas.
El ataque de ransomware, que incluso interrumpió el acercamiento a los registros de sanidad electrónicos, se atribuyó a un peña de ransomware conocido como Black Hilván. Según el Unidad de Lozanía y Servicios Humanos de EE. UU., La violación se ha clasificado como el tercer maduro incidente relacionado con la atención médica durante el año pasado.
Según la oficina del senador, la violación se produjo cuando un contratista hizo clic en un enlace desconfiado luego de realizar una búsqueda web en el motor de búsqueda de Bing de Microsoft, lo que provocó que su sistema se infectara con malware. Después, los atacantes aprovecharon la “configuración predeterminada peligrosamente insegura” en el software Microsoft para obtener acercamiento elevado a las partes más sensibles de la red de Ascension.
Esto implicó el uso de una técnica indicación Kerberoasting que se dirige al protocolo de autenticación Kerberos para extraer credenciales de cuenta de servicio cifradas de Active Directory.
Kerberoasting “explota una tecnología de enigmático inseguro de la división de 1980 conocida como ‘RC4’ que todavía es compatible con Microsoft Software en su configuración predeterminada”, dijo la oficina de Wyden, y agregó que instó a Microsoft a advertir a los clientes sobre la amenaza planteada por la amenaza el 29 de julio de 2024.
RC4, iniciales de Rivest Cipher 4, es un enigmático de transmisión que se desarrolló por primera vez en 1987. Originalmente pretendía ser un secreto comercial, se filtró en un foro sabido en 1994. A partir de 2015, el peña de trabajo de ingeniería (ETF) ha prohibido el uso de RC4 en TLS, citando una “variedad de deberes criptográficas” que permiten la recuperación de la historia de la historia.
Finalmente, Microsoft publicó una alerta en octubre de 2024 que describe los pasos que los usuarios pueden seguir para mantenerse protegidos, encima de determinar sus planes para desaprobar el soporte para RC4 como una modernización futura de Windows 11 24h2 y Windows Server 2025 –
Las cuentas más vulnerables a la kerberoasting son aquellas con contraseñas débiles y aquellas que usan algoritmos de enigmático más débiles, especialmente RC4. RC4 es más susceptible al ciberataque porque no usa sal o hash iterado al convertir una contraseña a una esencia de enigmático, lo que permite al actor cibernético adivinar más contraseñas rápidamente.
Sin incautación, otros algoritmos de enigmático siguen siendo vulnerables cuando se utilizan contraseñas débiles. Si correctamente AD no intentará usar RC4 de forma predeterminada, RC4 está actualmente preparado de forma predeterminada, lo que significa que un actor cibernético puede intentar solicitar boletos encriptados con RC4. RC4 estará en desuso y tenemos la intención de deshabilitarlo de forma predeterminada en una modernización futura de Windows 11 24h2 y Windows Server 2025.
Microsoft, que eliminó el soporte para el estereotipado de enigmático de datos (DES) en Kerberos para Windows Server 2025 y Windows 11, lectura 24h2 a principios de febrero, dijo que incluso ha introducido mejoras de seguridad en el servidor 2025 que evitan que el Centro de distribución de Kerberos emite tickets de concesión de tickets utilizando el enigmático RC4, como RC4-HMAC (NT).
Algunas de las mitigaciones recomendadas de Microsoft para insensibilizar los entornos contra la kerberoasting incluyen –
- Uso de cuentas de servicio administradas en el peña (GMSA) o cuentas de servicio administrados (DMSA) siempre que sea posible
- Asegurando cuentas de servicio estableciendo contraseñas largas generadas aleatoriamente que tienen al menos 14 caracteres de dilatado
- Cerciorarse de que todas las cuentas de servicio estén configuradas para usar AES (128 y 256 bits) para el enigmático de boletos de servicio de Kerberos
- Auditar cuentas de afortunado con nombres principales de servicio (SPNS)
Sin incautación, Wyden escribió que el software de Microsoft no aplica una largo de contraseña de 14 caracteres para cuentas privilegiadas, y que el continuo soporte de la compañía para la tecnología de enigmático RC4 insegura “expone” innecesariamente a sus clientes a ransomware y otras amenazas cibernéticas al permitir que los atacantes descifraran las contraseñas de cuentas privilegiadas.
Hacker News se ha comunicado con Microsoft para hacer comentarios, y actualizaremos la historia si recibimos telediario. Esta no es la primera vez que el fabricante de Windows ha sido criticado por sus prácticas de ciberseguridad.
En un referencia publicado el año pasado, la Corporación de Revisión de Seguridad Cibernética de los Estados Unidos (CSRB) criticó a la compañía por una serie de errores evitables que podrían suceder evitado que los actores de amenaza chinos conocidos como Storm-0558 comprometieran los buzones en cuerda de Microsoft Exchange de 22 organizaciones y más de 500 personas en todo el mundo.
“En última instancia, el historial abismal de seguridad cibernética de Microsoft no ha tenido impacto en sus lucrativos contratos federales gracias a su posición de mercado dominante y su inacción por parte de las agencias gubernamentales frente a la serie de fallas de seguridad de la compañía”, argumentó la oficina de Wyden.
“La carta subraya una tensión de larga data en la ciberseguridad empresarial, el estabilidad entre el soporte del sistema heredado y el diseño seguro por default”, dijo Ensar Seker, CISO en Socrarradar. “Se comercio de un peligro sistémico heredado de las configuraciones predeterminadas y la complejidad arquitectónica de ecosistemas de software ampliamente adoptados como el de Microsoft. Cuando un solo proveedor se vuelve fundamental para la infraestructura doméstico, sus decisiones de diseño de seguridad o la desatiendo de ellos, pueden tener consecuencias en cascada”.
“En última instancia, se comercio de culpar a una compañía. Se comercio de ojear que la seguridad doméstico ahora está estrechamente combinada con los títulos predeterminados de configuración de las plataformas de TI dominantes. Las empresas y las agencias del sector sabido deben exigir predeterminados más seguros por diseño y estar listos para adaptarse cuando se les ofrece”.
