ABD Senatörü Ron Wyden, Federal Ticaret Komisyonu’nu (FTC), Microsoft’u “brüt siber güvenlik ihmali” olarak adlandırdığı şey için araştırmaya çağırdı ve teknoloji devini, pencereler işletim sistemini, büyük sağlık sistemleri de dahil olmak üzere, ransomware saldırılarına büyük bir kritik altyapı saldırılarına tehlikeli bir şekilde modası geçmiş bir şifreleme biçimiyle bilerek göndermekle suçladı.
10 Eylül 2025’te FTC Başkanı Andrew N. Ferguson’a hitap eden bir mektupta Senatör Wyden, Microsoft’un güvensiz varsayılan ayarlarının siber suçlar için verimli bir zemin oluşturduğunu ve ABD’nin ulusal güvenliğini doğrudan tehdit ettiğini savundu.
Mektup, Microsoft’un 1980’lerde geliştirilen eski bir şifreleme teknolojisi olan RC4’e sürekli desteğini kullanan “Kerberoasting” olarak bilinen bir hack tekniğini vurgulamaktadır.
Gelişmiş Şifreleme Standardı (AES) gibi modern ve güvenli şifreleme standartları mevcut olsa da, Microsoft onları yaygın olarak kullanılan Active Directory yazılımında varsayılan gereksinim haline getirmedi.
Yükseliş Fidye Yazılımı Saldırısı
Mektup, Microsoft’un iddia edilen başarısızlıklarının en iyi örneği olarak ABD’deki en büyük kar amacı gütmeyen sağlık sistemlerinden biri olan Ascension’a 2024 fidye yazılımı saldırısı detaylandırıyor.
Olay, bir yüklenicinin bir Microsoft Bing arama sonucundan kötü niyetli bir bağlantıyı tıkladığında, yanlışlıkla kötü amaçlı yazılım indirdiğinde başladı.
Bu tek giriş noktasından, bilgisayar korsanları Ascension’ın ağı boyunca ilerledi ve kuruluşun Microsoft Active Directory sunucusundaki zayıf RC4 şifrelemesinden yararlanmak için Kerberoasting tekniğini kullandı.
Bu, idari ayrıcalıklar kazanmalarını, binlerce bilgisayarda fidye yazılımı dağıtmalarını ve 5.6 milyon hastanın hassas verilerini çalmalarını sağladı.
Saldırı, Yükseliş’in hasta bakımı sağlama yeteneğini ciddi şekilde bozdu.
Senatör Wyden’in ofisi, Temmuz 2024’te kıdemli Microsoft yetkililerini Kerberoasting’in yarattığı tehdit hakkında açık uyarılar yayınlamaya çağırdığını belirtti.
Yanıt olarak Microsoft, Ekim 2024’te son derece teknik bir blog yazısı yayınladı, azaltma adımları önerdi ve savunmasız RC4 şifrelemesini devre dışı bırakmak için gelecekteki bir yazılım güncellemesi vaat etti.
Ancak Wyden, şirketin açıklamasını yetersiz olarak eleştirdi ve anlamlı bir tanıtım olmadan web sitesinin belirsiz bir kısmında yayınlandığını belirtti.
Ayrıca, on bir ay sonra, vaat edilen güvenlik güncellemesi henüz yayınlanmadı ve sayısız kuruluşu savunmasız bıraktı.
Senatör, CISA, FBI ve NSA da dahil olmak üzere ABD siber güvenlik ajanslarının, Kerberoasting’e karşı özellikle uyarı ve RC4 şifrelemesinin devre dışı bırakılmasını tavsiye ettiği için Microsoft’un eylemsizliğinin ikiyüzlülüğüne dikkat çekti.
Eylül 2024’te Avustralya Ulusal Güvenlik Ajansları tarafından yazılan CISA ve NSA’dan kapsamlı bir rehber, Kerberoasting’i Microsoft’un Active Directory yazılımına karşı en büyük tehdit olarak tanımladı.
Wyden ayrıca, Microsoft’un güvenlik kültürünü “yetersiz ve elden geçirmeyi gerektiren” bir siber güvenlik inceleme kurulu raporuna atıfta bulundu, bu da Temmuz 2023’te ABD hükümet ajanslarının büyük bir hackini takip etti.
Senatör, Microsoft’u eklenti siber güvenlik hizmetleri satarak kendi güvensiz ürünlerinden kâr etmekle suçlayarak, şirketi “kurbanlarına itfaiye hizmetleri satan bir kundakçı” ile karşılaştırarak sona erdi.
FTC’yi, Microsoft’u tekelci ve ihmalkar uygulamalarından sorumlu tutmak için derhal harekete geçmeye çağırdı.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.