El senador estadounidense Ron Wyden ha pedido a la Comisión Federal de Comercio (FTC) que investigue a Microsoft y lo responsabilice de lo que llamó «negligencia bruta de seguridad cibernética» que permitió los ataques de ransomware contra la infraestructura crítica de los Estados Unidos, incluso contra las redes de atención médica.
«Sin una acción oportuna, la cultura de ciberseguridad negligente de Microsoft, combinada con su monopolización de facto del mercado de sistemas operativos empresariales, plantea una seria amenaza de seguridad nacional y hace inevitables hacks adicionales», Wyden escribió En una carta de cuatro páginas al presidente de la FTC, Andrew Ferguson, comparando a Redmond con un «incendiario que vende servicios de lucha contra incendios a sus víctimas».
El desarrollo se produce después de que la oficina de Wyden obtuvo nueva información del sistema de salud Ascension, que sufrido un paraladizo ataque de ransomware el año pasado, lo que resulta en el robo de información personal y médica asociada con casi 5.6 millones de personas.
El ataque de ransomware, que también interrumpió el acceso a los registros de salud electrónicos, se atribuyó a un grupo de ransomware conocido como Black Basta. Según el Departamento de Salud y Servicios Humanos de los Estados Unidos, la violación se ha clasificado como el El tercer mayor incidente relacionado con la atención médica durante el año pasado.
Según la oficina del senador, la violación se produjo cuando un contratista hizo clic en un enlace malicioso después de realizar una búsqueda web en el motor de búsqueda de Bing de Microsoft, lo que provocó que su sistema se infectara con malware. Posteriormente, los atacantes aprovecharon la «configuración predeterminada peligrosamente insegura» en el software Microsoft para obtener acceso elevado a las partes más sensibles de la red de Ascension.
Esto implicó el uso de una técnica llamada Querberoasting Eso se dirige al protocolo de autenticación Kerberos para extraer credenciales de cuenta de servicio cifradas de Active Directory.
Kerberoasting «explota una tecnología de cifrado inseguro de la década de 1980 conocida como 'RC4' que todavía es compatible con Microsoft Software en su configuración predeterminada», dijo la oficina de Wyden, y agregó que instó a Microsoft a advertir a los clientes sobre la amenaza planteada por la amenaza el 29 de julio de 2024.
RC4abreviatura de Rivest Cipher 4, es un cifrado de transmisión que se desarrolló por primera vez en 1987. Originalmente destinado a ser un secreto comercial, se filtró en un foro público en 1994. A partir de 2015, la Fuerza de Tarea de Ingeniería (ETF) ha prohibido El uso de RC4 en TLS, citando una «variedad de debilidades criptográficas» que permiten la recuperación de texto sin formato.
Finalmente, Microsoft lo hizo publicar Una alerta en octubre de 2024 que describe los pasos que los usuarios pueden seguir para mantenerse protegidos, además de indicar sus planes para desaprobar el soporte para RC4 como una actualización futura de Windows 11 24h2 y Windows Server 2025 –
Las cuentas más vulnerables a la kerberoasting son aquellas con contraseñas débiles y aquellas que usan algoritmos de cifrado más débiles, especialmente RC4. RC4 es más susceptible al ciberataque porque no usa sal o hash iterado al convertir una contraseña a una clave de cifrado, lo que permite al actor cibernético adivinar más contraseñas rápidamente.
Sin embargo, otros algoritmos de cifrado siguen siendo vulnerables cuando se utilizan contraseñas débiles. Si bien AD no intentará usar RC4 de forma predeterminada, RC4 está actualmente habilitado de forma predeterminada, lo que significa que un actor cibernético puede intentar solicitar boletos encriptados con RC4. RC4 estará en desuso y tenemos la intención de deshabilitarlo de forma predeterminada en una actualización futura de Windows 11 24h2 y Windows Server 2025.
Microsoft, que soporte eliminado Para el estándar de cifrado de datos (DES) en Kerberos para Windows Server 2025 y Windows 11, la versión 24h2 a principios de febrero, dijo que también tiene introducido Mejoras de seguridad en el servidor 2025 que evitan que el Centro de Distribución de Kerberos emite boletos con tickets utilizando el cifrado RC4, como RC4-HMAC (NT).
Algunas de las mitigaciones recomendadas de Microsoft para endurecer los entornos contra ataques de kerberoasting incluyen –
- Uso de cuentas de servicio administradas en el grupo (GMSA) o cuentas de servicio administrados (DMSA) siempre que sea posible
- Asegurando cuentas de servicio estableciendo contraseñas largas generadas aleatoriamente que tienen al menos 14 caracteres de largo
- Asegurarse de que todas las cuentas de servicio estén configuradas para usar AES (128 y 256 bits) para el cifrado de boletos de servicio de Kerberos
- Auditar cuentas de usuario con nombres principales de servicio (SPNS)
Sin embargo, Wyden escribió que el software de Microsoft no aplica una longitud de contraseña de 14 caracteres para cuentas privilegiadas, y que el continuo soporte de la compañía para la tecnología de cifrado RC4 insegura «expone» innecesariamente a sus clientes a ransomware y otras amenazas cibernéticas al permitir que los atacantes descifraran las contraseñas de cuentas privilegiadas.
Cuando se contactó para hacer comentarios, Microsoft compartió la siguiente declaración con Hacker News –
RC4 es un estándar antiguo, y desanimamos su uso tanto en la forma en que diseñamos nuestro software como en nuestra documentación a los clientes, por lo que representa menos del 0.1% de nuestro tráfico. Sin embargo, deshabilitar su uso por completo rompería muchos sistemas de clientes. Por esta razón, estamos en camino para reducir gradualmente hasta qué punto los clientes pueden usarlo, al tiempo que proporcionan advertencias fuertes contra él y consejos para usarlo de la manera más segura posible. Lo tenemos en nuestra hoja de ruta para finalmente deshabilitar su uso. Nos hemos comprometido con la oficina del senador sobre este tema y continuaremos escuchando y respondiendo preguntas de ellos u otras personas en el gobierno.
La compañía señaló que cualquier nueva instalación de los dominios de Active Directory utilizando Windows Server 2025 tendrá RC4 deshabilitado por defecto a partir del primer trimestre de 2026, y agregará inherentemente protegerse inherentemente contra los ataques que dependen de las debilidades de RC4. También dijo que planea incluir mitigaciones adicionales para las implementaciones existentes en el mercado teniendo en cuenta la compatibilidad y la continuidad de los servicios críticos al cliente.
Esta no es la primera vez que el fabricante de Windows ha sido criticado por sus prácticas de ciberseguridad. En un informe publicado el año pasado, US Cyber Safety Review Board (CSRB) criticado La compañía para una serie de errores evitables que podrían haber evitado que los actores de amenaza chinos sean conocidos como Storm-0558 comprometan los buzones en línea de Microsoft Exchange de 22 organizaciones y más de 500 personas en todo el mundo.
«En última instancia, el historial abismal de seguridad cibernética de Microsoft no ha tenido impacto en sus lucrativos contratos federales gracias a su posición de mercado dominante y su inacción por parte de las agencias gubernamentales frente a la serie de fallas de seguridad de la compañía», argumentó la oficina de Wyden.
«La carta subraya una tensión de larga data en la ciberseguridad empresarial, el equilibrio entre el soporte del sistema heredado y el diseño seguro por default», dijo Ensar Seker, CISO en Socrarradar. «Se trata de un riesgo sistémico heredado de las configuraciones predeterminadas y la complejidad arquitectónica de ecosistemas de software ampliamente adoptados como el de Microsoft. Cuando un solo proveedor se vuelve fundamental para la infraestructura nacional, sus decisiones de diseño de seguridad o la falta de ellos, pueden tener consecuencias en cascada».
«En última instancia, se trata de culpar a una compañía. Se trata de reconocer que la seguridad nacional ahora está estrechamente combinada con los valores predeterminados de configuración de las plataformas de TI dominantes. Las empresas y las agencias del sector público deben exigir predeterminados más seguros por diseño y estar listos para adaptarse cuando se les ofrece».
(La historia se actualizó después de la publicación para incluir una respuesta de Microsoft).
Fuente