Сенатор США Рон Уайден призвал Федеральную торговую комиссию (FTC) провести расследование в отношении компании Microsoft, обвиняя её в серьёзной неосторожности в области кибербезопасности, которая способствовала атаке программ-вымогателей на критически важную инфраструктуру США, включая сети здравоохранения. В своём письме председателю FTC Эндрю Фергусону, состоящем из четырех страниц, Уайден сравнил Microsoft с поджигателем, продающим услуги пожаротушения собственным жертвам.
Офис Уайдена получил новую информацию от системы здравоохранения Ascension о разрушительной атаке программ-вымогателей, приписываемой группировке Black Basta, случившейся в прошлом году. Эта атака нарушила доступ к электронным медицинским записям и привела к краже личной и медицинской информации. Согласно данным сенатора, нарушение началось с того, что подрядчик, воспользовавшись Microsoft Bing, кликнул по вредоносной ссылке, заразив свою систему вредоносным ПО. Затем злоумышленники использовали небезопасные настройки по умолчанию в программном обеспечении Microsoft для получения повышенного доступа и применили технику Kerberoasting для извлечения зашифрованных учетных данных из Active Directory.
Устаревшие шифрования под угрозой
Kerberoasting использует уязвимости устаревшего шифрования, в частности RC4, которое до сих пор включено по умолчанию в некоторых конфигурациях Microsoft. RC4 — это давний потоковый шифр с известными слабостями, использование которого не рекомендуется. Microsoft выпустила предупреждение в октябре 2024 года и сообщила о планах по выходу RC4 из эксплуатации и отключению его по умолчанию в будущем обновлении Windows 11 24H2 и Windows Server 2025. Компания также объявила о шагах по удалению DES для Kerberos и других улучшениях безопасности в Server 2025, которые предотвращают выдачу билетов KDC с использованием шифрования на базе RC4.
Рекомендуемые меры по снижению угроз от Microsoft включают использование управляемых сервисных учётных записей или делегированных управляемых учётных записей, установку длинных случайно сгенерированных паролей (как минимум 14 символов) для сервисных учётных записей, настройку шифрования сервисных билетов Kerberos с использованием AES (128/256-бит), а также аудит учётных записей с именами Service Principal Names. Уайден раскритиковал Microsoft за то, что компания не настаивает на 14-значных паролях для привилегированных учётных записей, отметив, что продолжающаяся поддержка RC4 «без необходимости подвергает» клиентов риску атак программ-вымогателей и других угроз.
Ранее Microsoft уже подвергалась критике за проблемы с безопасностью, включая доклад Совета по кибербезопасности США, в котором компанию обвиняли в ошибках, которые позволили компрометацию Storm-0558. Эксперты по безопасности, опрошенные в статье, отмечают, что данный случай подчеркивает системные риски от небезопасных настроек по умолчанию и необходимость безопасного по умолчанию проектирования от доминирующих поставщиков ИТ-технологий.
