Săptămâna trecută, un senator proeminent din SUA a solicitat Comisiei Federale pentru Comerț să investigheze Microsoft pentru neglijență în securitatea cibernetică, în legătură cu rolul jucat în incidentul de securitate cibernetică al gigantului din domeniul sănătății, Ascension. Acest incident a perturbat grav funcționarea a 140 de spitale și a expus datele medicale ale 5,6 milioane de pacienți. Însă, pe lângă criticile aduse Microsoft, există detalii alarmante, recent dezvăluite, care pun sub semnul întrebării securitatea internă a Ascension.
Într-o scrisoare adresată săptămâna trecută președintelui FTC, Andrew Ferguson, senatorul Ron Wyden (D-Ore.) a dezvăluit că investigația desfășurată de biroul său a constatat că atacul a început în februarie 2024, când laptopul unui contractor a fost infectat cu malware printr-un link obținut prin motorul de căutare Bing al Microsoft. Atacatorii au reușit apoi să acceseze cel mai important activ de rețea al Ascension: Windows Active Directory. Acest instrument, folosit de administratori pentru a crea și șterge conturi de utilizatori și a gestiona privilegiile de sistem, este comparabil cu obținerea unei chei maestre care deschide orice ușă într-o clădire restricționată.
Senatorul Wyden l-a criticat pe Microsoft pentru susținerea continuă a implementării vechi de trei decenii a protocolului de autentificare Kerberos, care utilizează un cifru nesigur și, după cum a subliniat senatorul, expune clienții la tipul de breșă de securitate suferită de Ascension. Deși versiunile moderne ale Active Directory vor folosi în mod implicit un mecanism de autentificare mai sigur, acestea vor reveni la cel mai slab în cazul în care un dispozitiv din rețea – inclusiv unul infectat cu malware – trimite o solicitare de autentificare care îl utilizează. Acest lucru le-a permis atacatorilor să realizeze Kerberoasting, o formă de atac pe care Wyden a spus că atacatorii au folosit-o pentru a pătrunde direct în inima securității rețelei Ascension.
Ce nu s-a discutat în scrisoarea lui Wyden – și nici în postările de pe rețelele sociale care au discutat despre aceasta – a fost rolul Ascension în această breșă, care, conform relatării lui Wyden, a fost considerabil. Unul dintre presupusele eșecuri de securitate este folosirea unei parole slabe. Kerberoasting funcționează doar atunci când parola este suficient de slabă pentru a fi spartă, ceea ce ridică întrebări despre puterea parolei compromise de atacatorii ransomware ai Ascension.
“Problema fundamentală care duce la Kerberoasting este reprezentată de parolele slabe”, a declarat într-un interviu Tim Medin, cercetătorul care a inventat termenul Kerberoasting. “Chiar și o parolă aleatorie de 10 caractere ar fi imposibil de spart. Acest lucru mă face să cred că parola nu a fost deloc aleatorie.”
Calculul lui Medin se bazează pe numărul de combinații de parole posibile cu o parolă de 10 caractere, presupunând că aceasta este generată aleator dintr-o combinație de litere mari și mici, cifre și caractere speciale.