ABD Senatörü Ron Wyden, Federal Ticaret Komisyonu’na (FTC), ajansın ürünlerinde yeterli güvenlik sağlayamadığı için Microsoft’u araştırmasını talep eden bir mektup gönderdi ve bu da sağlık kuruluşlarına karşı fidye yazılımı saldırılarına yol açtı.
Senatör, Microsoft’un “brüt siber güvenlik ihmalinden sorumlu tutulması gerektiğini söyleyerek resmi sormaya başladı ve bu da ABD sağlık kuruluşları da dahil olmak üzere kritik altyapıya karşı fidye yazılımı saldırılarına yol açtı.
Senatör, Microsoft’un ürünlerinde iyi belgelenmiş güvenlik risklerini etkili bir şekilde azaltmak için belirleyici bir eylemde bulunamamasını vurgular ve bu da 5.6 milyon hastanın verilerini tehlikeye atan 2024 Yükseliş Sağlığı Ransomware ihlali gibi saldırılara neden olur.
Mayıs 2024’te meydana gelen olay, bir yüklenici Microsoft Edge’de kötü niyetli bir Bing arama sonucunu tıkladığında ortaya çıktı ve bilgisayar korsanlarının bir “Kerberoasting” saldırısı gerçekleştirmesine izin verdi.
Kerberos, kullanıcılara ve hizmetlere şifre değişimi olmadan kimliklerini doğrulayarak ağ kaynaklarına erişim sağlayan bir ağ kimlik doğrulama protokolüdür.
Kerberoasting, saldırganların Microsoft Active Directory’den şifreli hizmet hesabı kimlik bilgilerini çalmasına izin veren bir ortaklık sonrası tekniğidir.
Bazen güvensiz ve kullanımdan kaldırılmış RC4 algoritması ile şifrelenmiş zayıf veya korunması kolay şifrelerden yararlanır, bu da kolayca mevcut kaba kuvvet araçlarıyla şifrelenebilir.
Şifreyi şifreledikten sonra, saldırgan, Yükseliş Sağlığı ihlali durumunda olduğu gibi ayrıcalıkları artırmak ve tehlikeye atılan ağda yanal olarak hareket etmek için kullanabilir.
Senatör, ekibinin Temmuz 2024’te Microsoft ile konuştuğunu ve teknoloji devini müşterileri AES 128/256 gibi daha sağlam seçenekler yerine RC4 kullanma tehlikeleri konusunda uyarmaya ve ikincisini varsayılan ayar haline getirmeye çağırıyor.
Microsoft, Senatörün son derece teknik olduğunu ve uyarıyı şirketler içindeki karar vericilere açıkça iletemediği bir blog yayınıyla yanıt verdi.
RC4 şifreleme algoritması, düz metin bilgilerinin kurtarılmasına izin veren güvenlik açıklarına sahip zayıf bir şifre olmasına rağmen, Kerberos’ta hala bir seçenektir.
Microsoft’un ürünlerindeki güvenliği güçlendirme sözü verdiğini belirtmek gerekir. RC4, daha yeni, daha güvenli algoritmaları kabul etmeyen eski sistemlere Kerberos’ta mevcut olmaya devam ediyor.
Wyden, Microsoft’un ciddi bir ulusal güvenlik riski olarak uygulamalarını açıkça çerçeveliyor ve FTC müdahale etmedikçe daha yüksek etkili olayların gerçekleşeceğinin kesinliğini ifade ediyor.
“Zamanında eylem olmadan, Microsoft’un ihmalkar siber güvenlik kültürü, kurumsal işletim sistemi pazarının fiili tekelleşmesi ile birleştiğinde, ciddi bir ulusal güvenlik tehdidi oluşturuyor ve kaçınılmaz hale getiriyor” – Senatör Ron Wyden
BleepingComputer, Microsoft ile bu geliştirme hakkında bir yorum talebiyle iletişime geçti ve bir sözcü bize şu ifadeyi gönderdi:
“RC4 eski bir standarttır ve hem yazılımımızı hem de belgelerimizi müşterilere nasıl tasarladığımızda kullanımını caydırıyoruz – bu yüzden trafiğimizin% 0,1’inden daha azını oluşturuyor. Ancak, kullanımını tamamen devre dışı bırakmak birçok müşteri sistemini bozacaktır.”
Şirket, müşteriler için herhangi bir bozulma yaratmadan algoritmayı kademeli olarak kaldırmak için aktif olarak çalışıyor ve buna karşı uyarı veriyor ve algoritmayı “mümkün olan en güvenli yollarla” kullanmak için tavsiye veriyor.
Bir Microsoft sözcüsü BleepingComputer’a verdiği demeçte, “Sonunda kullanımını devre dışı bırakmak için yol haritamızda var. Senatörün bu konuda etkileşime geçtik ve onlardan veya hükümetteki diğerlerinden soruları dinlemeye ve cevaplamaya devam edeceğiz.” Dedi.
FTC, Wyden’in talebine henüz kamuya yanıt vermedi.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.