Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri, Sektöre Özel
Milletvekilleri, Microsoft Lapses’in Ascension Health’in büyük 2024 hackine yol açtığını söylüyor
Marianne Kolbasuk McGee (Healthinfosec) •
11 Eylül 2025
Sen. Ron Wyden, D-Oregon, Federal Ticaret Komisyonu’nu, geçen yılki Ascension Health’e yapılan saldırı da dahil olmak üzere, kritik altyapı sektörü kuruluşlarına yönelik fidye yazılım saldırılarına katkıda bulunduğunu söylediği yazılım devinin “ihmalkar siber güvenliği” iddiası üzerine Microsoft’u araştırmaya çağırıyor.
Ayrıca bakınız: Sağlık hizmetlerinin güvenliği: Sürekli değişen bir tehdit manzarasında riski en aza indirmek
Wyden’in Çarşamba günü FTC Başkanı Andrew Ferguson’a mektubu Microsoft’un güvenlik uygulamaları üzerinde düzenleyici bir inceleme çağrısında bulundu ve 2024 Yükselişe yönelik fidye yazılımı saldırısından sonra ofisine yapılan soruları belirtti.
Bu hack, Yükseliş’in BT sistemlerini haftalarca bozdu ve ayrıca 5.6 milyon kişinin kişisel ve sağlık bilgilerini tehlikeye atarak verilerin hırsızlığını da içeriyordu (bkz: bkz: Fidye yazılımı hackinden etkilenen 5.6 milyonu bildiren yükseliş).
Amerika Birleşik Devletleri’ndeki en büyük Katolik hastane zincirlerinden biri olan Missouri merkezli Ascension, 16 eyalette 140 hastane ve 30 üst düzey bakım merkezi ve diğer tesisleri ve Columbia Bölgesi’ni işletmektedir.
Bilgisayar korsanları, Ascension’ın Microsoft Active Directory sunucusundaki ayrıcalıklı hesaplara erişmek için Kerberoasting adlı bir ayrıcalık yükseltme tekniğinden yararlandı.
Saldırganlar Active Directory kimlik bilgilerini çalmak için Kerberos Kimlik Doğrulama Protokolünü hedefler.
Kerberoasting uzun zamandır Microsoft’un Active Directory’yi içeren bir sorun olmuştur (bkz: Bilgisayar korsanları neden Active Directory’yi kötüye kullanır?).
Senatör FTC’ye, “Bu olay Microsoft’un neden olduğu sorunu mükemmel bir şekilde gösteriyor.” Dedi.
Wyden, Ascension’ın personeline, Şubat 2024’te bir Ascension dizüstü bilgisayar kullanan bir yüklenicinin Microsoft’un Microsoft’un Edge Web tarayıcısının varsayılan olarak kullandığı Bing arama motorunu kullanarak bir arama yaptığını söyledi.
Wyden, “Yüklenici, arama sonuçlarından birinden kötü niyetli bir bağlantıyı tıkladı ve bu da yanlışlıkla kötü amaçlı yazılımlar indirme ve açmalarına neden oldu.” “Bu yüklenicinin dizüstü bilgisayarına bulaştıktan sonra, bilgisayar korsanları Ascension’ın ağı içinde yanal olarak hareket edebildiler ve kuruluşun Microsoft Active Directory sunucusundaki hesaplara idari ayrıcalıklar kazanabildiler.” Dedi.
Active Directory “kullanıcı hesaplarını yönetmek için kullanıldığı için bir kuruluşun ağının taç mücevherlerinden biridir” dedi.
Bilgisayar korsanları, fidye yazılımlarını organizasyondaki binlerce diğer bilgisayara itmek için bu ayrıcalıklı erişimi kullandı. Bu “Ascension’ın hastalarına ve topluluklarına hizmet etme yeteneğinde zorluklar yarattı. Bilgisayar korsanları da milyonlarca hastanın hassas verilerini çalmak için bu ayrıcalıklı erişimi kullanabildiler”.
FTC, bilgi güvenliği medya grubuna Wyden’in mektubunu aldığını, ancak daha fazla yorumu reddettiğini doğruladı.
Ascension, ISMG’nin Wyden’in Yükseliş’in saldırısına ilişkin yorum talebine hemen yanıt vermedi.
Çoklu Uyarılar
Kerberoasting Hacking Technique “Microsoft’un Microsoft için çalışan uzmanlar da dahil olmak üzere federal ajansların ve siber güvenlik uzmanlarının on yıldan fazla bir süredir uyarıldığı konusunda uyaran, Microsoft’un varsayılan olarak, RC4 adlı güvensiz bir şifreleme teknolojisi için varsayılan olarak destekliyor.” Dedi.
“Microsoft’un yazılımı, gelişmiş şifreleme standardı olarak bilinen ABD hükümeti tarafından onaylanan ve önerilen güvenli bir şifreleme teknolojisini de desteklemesine rağmen, bu büyük ölçüde üstün şifreleme teknolojisi Windows’ta varsayılan olarak gerekli değildir.” Dedi.
“Microsoft’un eski, güvensiz RC4 şifreleme teknolojisine devam eden desteği, kurumsal bir ağdaki herhangi bir bilgisayara yöneticiler tarafından kullanılan ayrıcalıklı hesapların şifrelerini kırmasını sağlayan bilgisayar korsanlarını sağlayarak müşterilerini fidye yazılımlarına ve diğer siber tehditlere gereksiz yere maruz bırakıyor.”
Microsoft, bu tehditlerin en az 14 karakter içeren uzun parolalar ayarlayarak hafifletilebileceğini söylemişti “, ancak Microsoft’un yazılımı ayrıcalıklı hesaplar için böyle bir şifre uzunluğu gerektirmiyor.”
Siber güvenlik ve altyapı güvenlik ajansı ve diğer devlet kurumları, sağlık sektörünü ve diğer kritik altyapı sektörlerini son birkaç yıl içinde birkaç kez Kerberoasting tehditleri konusunda uyardı.
Bu, 13 Aralık 2023’te yayınlanan bir CISA bültenini içerir ve teknoloji üreticilerini varsayılan şifre sömürüsü riskini ortadan kaldırmak için proaktif olarak adımlar atmaya çağırır.
Daha sonra, 16 Ekim 2024’te ortak bir bültende, CISA, FBI, Ulusal Güvenlik Ajansı ve birkaç yabancı ajans, İran tehdit aktörleri hakkında kuruluşların aktif direktorunda Kerberoasting tekniklerini kullanarak uyardı.
Günler önce Microsoft, Microsoft Enterprise Başkan Yardımcısı ve OS güvenlik David Weston tarafından bir blog yayınında Kerberoasting tehditleri hakkında da uyardı. Yöntemi bir sömürme sonrası tekniği olarak tanımladı (bkz:: Breach Roundup: Brezilya Polisi Tutuklama USDOD).
Bir ağa eriştikten sonra, saldırganlar Active Directory hesaplarına bağlı servis biletleri ister. Hackerlar daha sonra biletleri çatlattı – bir NTLM karma ile şifrelenmiş – şifreleri ortaya çıkarmak için çevrimdışı.
Blogdaki Weston, Kerberoasting’i hedef hesapları sorgulamak, hizmet biletlerini ve çatlak şifrelerini almak için açık kaynaklı araçlar kullanılarak yürütülebilen “düşük teknoloji, yüksek etkili bir saldırı” olarak nitelendirdi. Saldırganlar geçerli kimlik bilgileri aldıktan sonra, tehlikeye atılan ağlardan hızla hareket edebilirler.
Ancak Wyden ayrıca FTC’ye Kerberoasting’in Microsoft’un tek güvenlik zayıflığı olmadığını, organizasyonları büyük siber olayların tehlikesine sokmadığını söyledi.
Wyden, “Temmuz 2023’te FTC, CISA ve Adalet Bakanlığı’ndan Microsoft’u Çin tarafından ABD hükümet ajanslarının büyük bir hackini sağlayan başka bir siber güvenlik atlamasından sorumlu tutmasını istedim.”
Wyden, “İstediğim Siber Güvenlik İnceleme Kurulu tarafından yapılan bu olayın daha sonra gözden geçirilmesi, ‘Microsoft’un güvenlik kültürünün yetersiz olduğunu ve özellikle şirketin teknoloji ekosistemindeki merkeziyeti ve şirketteki güven seviyesi ışığında bir revizyon gerektirdiğini değerlendirdi.
Wyden, daha yakın zamanda, Temmuz ayında, Çin’deki bilgisayar korsanlarının Microsoft SharePoint’teki sıfır gün güvenlik açıklarını şifreleme verilerini çalmak ve sunuculara uzun vadeli, patch erişimini kolaylaştırmak için hedeflediğini kaydetti (bakınız: bkz: Microsoft Tesislerde Traares SharePoint Sustamsings Çin’e).
Wyden, FTC’yi “Microsoft’un tehlikeli yazılım mühendisliği uygulamalarını ve şirketin müşterilerini önemli siber güvenlik önlemlerini benimseme gereksinimi hakkında bilgilendirmeyi reddetmesini” durdurmak için müdahale etmeye çağırdı.
“Zamanında eylem olmadan, Microsoft’un ihmalkar siber güvenlik kültürü, kurumsal işletim sistemi pazarının fiili tekelleşmesi ile birleştiğinde, ciddi bir ulusal güvenlik tehdidi oluşturuyor ve ek hack’leri kaçınılmaz hale getiriyor.”
Microsoft, ISMG’nin Wyden’in iddiaları hakkında yorum talebine ve FTC’yi yazılım şirketini araştırmaya çağıran mektubuna hemen yanıt vermedi.