美国参议员罗恩·怀登 (Ron Wyden) 呼吁联邦贸易委员会 (FTC) 调查 Microsoft,并追究其对他所谓的“严重网络安全疏忽”负责,该疏忽导致了对美国关键基础设施(包括针对医疗网络)的勒索软件攻击。
怀登在给联邦贸易委员会主席安德鲁·弗格森的一封长达四页的信中写道:“如果不及时采取行动,Microsoft疏忽网络安全的文化,加上其对企业作系统市场的事实上的垄断,构成了严重的国家安全威胁,并使更多的黑客攻击不可避免,”他将雷德蒙德比作“向受害者出售消防服务的纵火犯”。
这一进展是在 Wyden 的办公室从医疗保健系统 Ascension 获得新信息之后发生的,该系统去年遭受了严重的勒索软件攻击,导致与近 560 万人相关的个人和医疗信息被盗。
勒索软件攻击还中断了对电子健康记录的访问,归因于一个名为 Black Basta 的勒索软件组织。据美国卫生与公众服务部称,此次泄露事件被列为过去一年中第三大医疗保健相关事件。
据参议员办公室称,此次违规事件发生在承包商在 Microsoft 的 Bing 搜索引擎上进行网络搜索后点击恶意链接,导致其系统感染恶意软件。随后,攻击者利用 Microsoft 软件上的“危险的不安全默认设置”来获得对 Ascension 网络最敏感部分的提升访问权限。
这涉及使用一种称为 Kerberoasting 的技术,该技术面向 Kerberos 身份验证协议,从 Active Directory 中提取加密的服务帐户凭据。
怀登的办公室表示,Kerberoasting“利用了 1980 年代一种称为’RC4’的不安全加密技术,Microsoft 软件在其默认配置中仍然支持该技术”,并补充说,它敦促 Microsoft 在 2024 年 7 月 29 日警告客户该威胁构成的威胁。
RC4 是 Rivest Cipher 4 的缩写,是一种流密码,于 1987 年首次开发。它最初打算成为商业秘密,但于 1994 年在公共论坛上泄露。截至 2015 年,工程任务组 (ETF) 已禁止在 TLS 中使用 RC4,理由是允许明文恢复的“各种加密弱点”。
最终,Microsoft 确实在 2024 年 10 月发布了一条警报,概述了用户可以采取的保持保护的步骤,此外还表示计划弃用对 RC4 的支持,作为 Windows 11 24H2 和 Windows Server 2025 的未来更新
最容易受到 Kerberoasting 攻击的帐户是那些密码较弱的帐户和那些使用较弱加密算法的帐户,尤其是 RC4。RC4 更容易受到网络攻击,因为它在将密码转换为加密密钥时不使用盐或迭代哈希,从而允许网络威胁行为者快速猜测更多密码。
但是,当使用弱密码时,其他加密算法仍然容易受到攻击。虽然 AD 默认不会尝试使用 RC4,但 RC4 目前默认启用,这意味着网络威胁行为者可以尝试请求使用 RC4 加密的票证。RC4 将被弃用,我们打算在 Windows 11 24H2 和 Windows Server 2025 的未来更新中默认禁用它。
Microsoft 于今年 2 月初删除了 Windows Server 2025 和 Windows 11 版本 24H2 的 Kerberos 中对数据加密标准 (DES) 的支持,并表示它还在 Server 2025 中引入了安全改进,阻止 Kerberos 分发中心使用 RC4 加密(例如 RC4-HMAC(NT))发出票证授予票证。
Microsoft 建议的一些缓解措施,以强化环境以抵御 Kerberoasting,包括 –
- 尽可能使用组托管服务帐户 (gMSA) 或委派托管服务帐户 (dMSA)
- 通过设置随机生成的长密码(长度至少为 14 个字符)来保护服务帐户
- 确保所有服务帐户都配置为使用 AES(128 位和 256 位)进行 Kerberos 服务票证加密
- 审核具有服务主体名称 (SPN) 的用户帐户
然而,怀登写道,Microsoft 的软件并未对特权帐户强制执行 14 个字符的密码长度,并且该公司对不安全的 RC4 加密技术的持续支持允许攻击者破解特权帐户的密码,从而“不必要地暴露”其客户面临勒索软件和其他网络威胁。
The Hacker News 已联系 Microsoft 征求意见,如果收到回复,我们将更新故事。这并不是这家 Windows 制造商第一次因其网络安全实践而受到抨击。
在去年发布的一份报告中,美国网络安全审查委员会 (CSRB) 抨击该公司存在一系列可避免的错误,这些错误可能会阻止被称为 Storm-0558 的中国威胁行为者破坏全球 22 个组织和 500 多人的 Microsoft Exchange Online 邮箱。
怀登的办公室辩称:“归根结底,Microsoft糟糕的网络安全记录对其利润丰厚的联邦合同没有影响,这要归功于其主导地位的市场地位以及政府机构在面对公司一系列安全故障时无所作为。
“这封信强调了企业网络安全领域长期存在的紧张关系,即遗留系统支持和默认安全设计之间的平衡,”SOCRradar 首席信息安全官 Ensar Seker 说。“这是关于从默认配置继承而来的系统性风险以及像 Microsoft 这样广泛采用的软件生态系统的架构复杂性。当单一供应商成为国家基础设施的基础时,他们的安全设计决策或缺乏安全设计决策可能会产生连锁反应。
“归根结底,这不是要责怪一家公司。这是关于认识到国家安全现在与占主导地位的 IT 平台的配置默认值紧密结合在一起。企业和公共部门机构都需要要求更多安全的默认设计,并准备好在提供时进行调整。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
