Un senator proeminent din SUA a solicitat Comisiei Federale pentru Comerț să investigheze Microsoft pentru „neglijență gravă în securitatea cibernetică”, acuzând compania de utilizarea continuă a unei forme de criptare depășită și vulnerabilă, pe care Windows o suportă implicit.
Într-o scrisoare adresată președintelui FTC, Andrew Ferguson, senatorul Ron Wyden (D–Oregon) a dezvăluit că o investigație realizată de biroul său privind breșa de ransomware din 2024 a gigantului din domeniul sănătății, Ascension, a identificat suportul implicit pentru cifrul de criptare RC4 ca fiind o cauză directă. Această breșă a condus la furtul datelor medicale a 5.6 milioane de pacienți.
Este a doua oară în ultimii doi ani când Wyden folosește termenul „neglijență” pentru a descrie practicile de securitate ale Microsoft.
„Din cauza deciziilor periculoase de inginerie software făcute de Microsoft, pe care compania le-a ascuns în mare parte clienților săi corporativi și guvernamentali, un singur individ dintr-un spital sau altă organizație care face clic pe link-ul greșit poate duce rapid la o infecție cu ransomware la nivelul întregii organizații,” a scris Wyden în scrisoarea trimisă miercuri. „Microsoft a eșuat complet în a opri sau măcar încetini flagelul ransomware-ului, facilitat de software-ul său periculos.”
RC4, prescurtat de la Rivest Cipher 4, este un omagiu adus matematicianului și criptografului Ron Rivest de la RSA Security, care a dezvoltat cifrul de flux în 1987. Acesta a fost protejat ca secret comercial până în 1994, când o parte anonimă a postat o descriere tehnică a acestuia pe lista de mail Cypherpunks. În câteva zile, algoritmul a fost compromis, ceea ce înseamnă că securitatea sa putea fi compromisă prin atacuri criptografice. Cu toate acestea, RC4 a rămas în utilizare largă în protocoalele de criptare, inclusiv SSL și succesorul său TLS, până acum aproximativ un deceniu.
Microsoft, totuși, continuă să suporte implicit RC4 ca mijloc de securizare a Active Directory, o componentă Windows pe care administratorii o folosesc pentru a configura și a proviziona conturile utilizatorilor în cadrul organizațiilor mari. Implicit, clienții Windows se vor autentifica folosind standardul de criptare AES, mult mai sigur, iar serverele vor răspunde folosind același standard. Dar, implicit, serverele Windows vor răspunde la cererile de autentificare bazate pe RC4 și vor returna un răspuns bazat pe RC4.
Această proiectare oferă hackerilor o oportunitate majoră dacă reușesc să compromită un singur dispozitiv într-o rețea altfel bine fortificată. Făcând dispozitivul să trimită o solicitare de autentificare bazată pe RC4, hackerii pot primi un răspuns și apoi pot sparge hash-ul criptografic slab care securizează parola subiacentă.
Într-o postare pe blog publicată miercuri, expertul în criptografie Matt Green de la Universitatea Johns Hopkins a spus că suportul continuu pentru Kerberos și RC4, combinat cu o configurare greșită comună care oferă utilizatorilor non-admin acces la funcții privilegiate Active Directory, deschide rețelele la „kerberoasting”, o formă de atac care utilizează atacuri de spargere a parolelor offline.