ABD Senatörü Ron Wyden, Federal Ticaret Komisyonu’nu (FTC) Microsoft’u araştırmaya ve HealthCare Networks’e karşı da dahil olmak üzere ABD kritik altyapısına fidye yazılımı saldırılarını sağlayan “brüt siber güvenlik ihmali” olarak adlandırdığı şeyden sorumlu tutmaya çağırdı.
Wyden, “Microsoft’un ihmalkar siber güvenlik kültürü, kurumsal işletim sistemi pazarının fiili tekelleşmesi ile birleştiğinde, ciddi bir ulusal güvenlik tehdidi oluşturuyor ve ek saldırıları kaçınılmaz hale getirdi.”
Geliştirme, Wyden’in ofisinin geçen yıl sakat bir fidye yazılımı saldırısı geçiren sağlık sistemi Yükselişinden yeni bilgiler elde etmesinden sonra geliyor ve bu da yaklaşık 5.6 milyon kişiyle ilişkili kişisel ve tıbbi bilgilerin çalınmasına neden oluyor.
Elektronik sağlık kayıtlarına erişimi de bozan fidye yazılımı saldırısı, Black Basta olarak bilinen bir fidye yazılımı grubuna atfedildi. ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na göre, ihlal geçtiğimiz yıl boyunca en büyük üçüncü sağlıkla ilgili olay olarak sıralandı.
Senatör ofisine göre, bir yüklenici Microsoft’un Bing arama motorunda bir web araması yaptıktan sonra kötü amaçlı bir bağlantıyı tıkladığında ve sistemlerinin kötü amaçlı yazılımlarla enfekte olmasına neden olduğunda ihlal meydana geldi. Daha sonra, saldırganlar Yükseliş Ağının en hassas kısımlarına yüksek erişim elde etmek için Microsoft yazılımındaki “tehlikeli güvensiz varsayılan ayarlardan” yararlandı.
Bu, Active Directory’den şifreli hizmet hesabı kimlik bilgilerini çıkarmak için Kerberos kimlik doğrulama protokolünü hedefleyen Kerberoasting adlı bir tekniğin kullanılmasını içeriyordu.
Kerberoasting, 1980’lerden ‘RC4’ olarak bilinen Microsoft yazılımı tarafından varsayılan yapılandırmasında hala desteklenen güvensiz bir şifreleme teknolojisini kullanıyor. “Dedi.
Rivest Cipher 4’ün kısaltması olan RC4, ilk olarak 1987’de geliştirilen bir akarsu şifresidir. Başlangıçta bir ticari sır olarak tasarlanmış, 1994 yılında halka açık bir forumda sızdırıldı. 2015 yılı itibariyle, Mühendislik Görev Gücü (ETF), TLS’de RC4 kullanımını yasakladı ve sade bir şekilde kurtarılması “çeşitli kriptografik zayıflıklara izin verdi.
Sonunda Microsoft, Ekim 2024’te, Windows 11 24H2 ve Windows Server 2025 – Windows Server 2025 – gelecekteki bir güncelleme olarak RC4’e destek verme planlarını belirtmenin yanı sıra, kullanıcıların korunmak için atabileceği adımları özetleyen bir uyarı yayınladı –
Kerberoasting’e karşı en savunmasız hesaplar, zayıf şifreleri olan ve daha zayıf şifreleme algoritmaları, özellikle RC4 kullanan hesaplardır. RC4, siber saldırıya daha duyarlıdır, çünkü bir şifreyi şifreleme anahtarına dönüştürürken tuz veya yinelenen karma kullanmaz ve siber telli aktörün hızlı bir şekilde daha fazla şifre tahmin etmesine izin verir.
Bununla birlikte, zayıf şifreler kullanıldığında diğer şifreleme algoritmaları hala savunmasızdır. AD varsayılan olarak RC4 kullanmaya çalışmasa da, RC4 şu anda varsayılan olarak etkinleştirilir, yani siber tehditli bir aktör RC4 kullanarak şifrelenmiş bilet talep etmeye çalışabilir. RC4 kullanımdan kaldırılacak ve Windows 11 24H2 ve Windows Server 2025’te gelecekteki bir güncellemede varsayılan olarak devre dışı bırakmayı planlıyoruz.
Windows Server 2025 ve Windows 11 için Kerberos’taki Veri Şifreleme Standardı (DES) için desteği kaldıran Microsoft, bu Şubat ayının başlarında 24H2 sürüm, Server 2025’te Kerberos Dağıtım Merkezi’nin RC4-Hmac (NT) gibi RC4 şifrelemesini kullanan bilet vermesini önleyen güvenlik iyileştirmeleri getirdiğini söyledi.
Microsoft’un Kerberoasting’e karşı sertleşmeleri için önerilen azaltımlarından bazıları –
- Mümkün olan her yerde Grup Yönetilen Hizmet Hesaplarını (GMSA) veya devredilen yönetilen hizmet hesaplarını (DMSA) kullanma
- En az 14 karakter uzunluğunda rastgele oluşturulan, uzun parolaları ayarlayarak hizmet hesaplarını güvence altına almak
- Tüm Hizmet Hesaplarının Kerberos Service Bilet Şifrelemesi için AES (128 ve 256 bit) kullanacak şekilde yapılandırıldığından emin olmak
- Hizmet Ana Adları (SPNS) ile Kullanıcı Hesaplarını Denetleme
Bununla birlikte, Wyden, Microsoft’un yazılımının ayrıcalıklı hesaplar için 14 karakterlik bir şifre uzunluğu uygulamadığını ve şirketin güvensiz RC4 şifreleme teknolojisine devam eden desteğinin, müşterilerini fidye yazılımlarına ve diğer siber tehditlere “gereksiz yere ortaya çıkardığını”, saldırganların ayrıcalıklı hesapların şifrelerini kırmasına izin vererek “gereksiz yere açığa çıkardığını yazdı.
Hacker News, yorum için Microsoft’a ulaştı ve tekrar duyarsak hikayeyi güncelleyeceğiz. Windows Maker, siber güvenlik uygulamaları için ilk kez patlatılmadı.
Geçen yıl yayınlanan bir raporda, ABD Siber Güvenlik İnceleme Kurulu (CSRB), Storm-0558 olarak bilinen Çin tehdit aktörlerinin 22 organizasyonun ve dünya çapında 500’den fazla kişinin Microsoft Exchange çevrimiçi posta kutularından ödün vermesini engelleyebilecek bir dizi önlenebilir hata için şirketi kıttı.
Wyden’in ofisi, “Nihayetinde, Microsoft’un Uçsmal Siber Güvenlik sicili, baskın pazar pozisyonu ve şirketin güvenlik başarısızlıkları dizisi karşısında devlet kurumlarının eylemsizliği sayesinde kazançlı federal sözleşmeleri üzerinde hiçbir etkisi olmamıştır.”
Socradar’daki CISO, “Mektup, kurumsal siber güvenliğe, eski sistem desteği ve korunma ile güvenli tasarım arasındaki dengede uzun süredir devam eden bir gerginliğin altını çiziyor.” Dedi. “Varsayılan yapılandırmalardan miras alınan sistemik risk ve Microsoft gibi yaygın olarak benimsenen yazılım ekosistemlerinin mimari karmaşıklığı ile ilgilidir. Tek bir satıcı ulusal altyapıya, güvenlik tasarım kararlarına veya eksikliğine sahip olduğunda, basamaklı sonuçlara sahip olabilir.”
“Nihayetinde, bu bir şirketi suçlamakla ilgili değil. Ulusal güvenliğin artık baskın BT platformlarının yapılandırma temerrütleriyle sıkı bir şekilde birleştiğini kabul etmekle ilgilidir. İşletmeler ve kamu sektörü ajansları, daha güvenli varsayılanlar talep etmeleri ve teklif edildiğinde uyum sağlamaya hazır olmaları gerekir.”