ABD Senatörü Ron Wyden (D-OR) Federal Ticaret Komisyonu’nu (FTC) olarak, şirketi olarak tanımladığı şey için soruşturmaya çağıran Microsoft’un siber güvenlik risklerini ele alması üzerinde yeni bir yangın fırtınası patladı. “Brüt Siber Güvenlik İhmali” Bu, sağlık hizmeti sağlayıcıları da dahil olmak üzere kritik altyapıya yönelik fidye yazılımı saldırılarını mümkün kıldı.
Çarşamba günü FTC Başkanı Andrew Ferguson’a gönderilen bir mektupta Wyden, Microsoft’u Hastane, Devlet Ajansları ve Şirketler gibi Hacking tekniklerine karşı savunmasız bırakan Gönderim Güvensiz Yazılım Varsayılanları ile suçladı. Kerberoasting. ABD’nin en büyük kar amacı gütmeyen sağlık sistemlerinden biri olan Ascension’a karşı 2024 fidye yazılımı saldırısına en iyi örnek olarak işaret etti.
Wyden’in ofisine göre, Yükseliş ihlali, bir yüklenici Microsoft’un Edge tarayıcısını kullanırken Bing arama sonuçlarında kötü niyetli bir bağlantıyı tıkladığında başladı. Saldırganlar, idari ayrıcalıklar elde etmek, binlerce makinede fidye yazılımı dağıtmak ve 5.6 milyon hastadan veri söndürmek için saldırganların çekirdek bir kimlik sistemi olan Microsoft Active Directory’den yararlandıkça olay hızla arttı.
Ayrıca Oku: Tek tıklama, büyük bozulma: Çalışan İndirme Tetiklenir Ascension Cyberattack
Saldırganların Microsoft’un onlarca yıllık ve geniş çapta itibarsız bir şifreleme algoritması olan RC4 için varsayılan desteğini nasıl istismar ettiğini açıklayan Wyden, “Bilgisayar korsanları Kerberoasting adlı bir teknikten yararlandı” diye yazdı. Federal ajanslardan ve kendi uzmanlarından gelen uyarılara rağmen, Microsoft varsayılan olarak RC4’ü devre dışı bırakmamıştır. Bunun yerine, şirket yöneticilerin AES şifrelemesi ve uzun parolalar gibi daha güçlü standartları manuel olarak uygulamasını gerektirir.
Bilinen bir tehdit, çok az eylem
Kerberoasting, Active Directory’deki zayıf şifreli hizmet hesabı kimlik bilgilerini kırarak çalışır ve saldırganların ayrıcalıkları hızla artırmasına izin verir. CISA, FBI ve NSA gibi ajanslar, kuruluşları 2024’ün sonları kadar yakın zamanda yayınlanan rehberlikle RC4’ü devre dışı bırakmaya çağırdı. Ancak Wyden, Microsoft’un ayaklarını sürüklediğini söylüyor:
-
Personeli Microsoft’un 2014’ün ortalarında açık uyarılar vermesini ve RC4’ü devre dışı bırakan bir güncelleme sağlamasını istedi.
-
Microsoft sonunda Ekim 2024’te hafifletme adımlarıyla bir blog yayınladı, ancak web sitesinin teknik bir köşesine gömüldü ve çok az görünürlük aldı.
-
Yaklaşık bir yıl sonra, vaat edilen yama henüz gelmedi.
“Şirketin kurumsal ve hükümet müşterilerinden büyük ölçüde saklandığı Microsoft’un tehlikeli yazılım mühendisliği kararları nedeniyle, yanlış bağlantıya tek bir bir kişi, kuruluş çapında bir fidye yazılımı enfeksiyonu ile sonuçlanabilir” Wyden yazdı.
Ayrıca okuyun: Microsoft’un Çok Kötü Günü: Kongre Üyeleri LAX Security’de ‘Şok’ ifade ediyor
Güvenlik başarısızlıklarının bir modeli
Mektupta ayrıca bir dizi yüksek profilli Microsoft bağlantılı güvenlik turları atıfta bulundu. 2023’te Çin devlet destekli hackerlar, ABD hükümet e-posta hesaplarını ihlal etmek için Microsoft bulut güvenlik açıklarından yararlandı ve siber güvenlik inceleme kurulunun şirketin “güvenlik kültürünü yetersiz” ilan etmesine yol açtı. Sadece aylar önce, Microsoft’un SharePoint yazılımındaki bir başka kusurun Pekin bağlantılı gruplar tarafından istismar edildiği bildirildi.
Oku: Çinli bilgisayar korsanları şimdi Warlock Ransomware: MSFT’yi dağıtmak için SharePoint Zero Days’den yararlanıyor:
Wyden, Microsoft’un bir iş modeli sorunu olarak yaklaşımını çerçeveledi. Şirket, güvenli yazılım sunarak değil, müşterileri maruz kaldıktan sonra premium güvenlik eklentileri konusunda artarak kazanır. “Microsoft, kurbanlarına itfaiye hizmetleri satan bir kundakçı gibi oldu” dedi.
Tekel sorunu ulusal güvenliği karşılıyor
Wyden’in argümanı Microsoft’un hakimiyetine dayanıyor. Dünya çapında işletmelere yerleşmiş Windows ve Active Directory ile müşterilerin Microsoft’un varsayılanlarına güvenmekten başka seçeneği yok – bu varsayılanlar onları fidye yazılımlarına maruz bıraksa bile. Senatör, FTC’yi haksız iş uygulamalarını ve aldatıcı davranışları engelleme yetkisini belirterek içeri girmeye çağırdı.
Ulusal güvenlik ajansları endişelerini yineledi. Eylül 2024 CISA, NSA ve Avustralya güvenlik yetkililerinden ortak bir rehber, Active Directory Sömürü’ne karşı savunmaya önemli odaklanma ve Kerberoasting’i en büyük tehdit olarak adlandırdı. Ancak montaj uyarılarına rağmen Wyden, Microsoft’un anlamlı düzeltmelere direndiğini savunuyor.
2024 saldırısı, tedavileri geciktirerek ve yaşamları tehdit eden birden fazla eyalette hastane operasyonlarını bozdu.
Oku: Siber Attack tarafından vurulan Ascension Healthcare: Hastalar saat saatleri, kaos başlıyor
ABD’deki fidye yazılımı saldırıları geçen yıl% 15 arttı, sağlık ve kritik altyapı tekrar tekrar artı işaretlerinde. Wyden, modası geçmiş şifreleme temerrütlerini desteklemeye devam ederek Microsoft’un sistemik riski artırdığını savundu.
“Zamanında eylem olmadan, Microsoft’un ihmalkar siber güvenlik kültürü… ciddi bir ulusal güvenlik tehdidi oluşturuyor ve ek saldırıları kaçınılmaz hale getiriyor” Uyardı.