El senador estadounidense Ron Wyden le pidió a la Comisión Federal de Comercio que investigara a Microsoft y lo responsabilice de lo que se llama «negligencia bruta de ciberseguridad» que permitió ataques de ransomware a la infraestructura crítica de los Estados Unidos, incluidas las redes de atención médica.
«Sin una acción oportuna, la cultura de negligencia cibernética de Microsoft, junto con el monopolio virtual del mercado de sistemas operativos empresariales, plantea una seria amenaza de seguridad nacional y hace que la piratería adicional sea inevitable», Wyden escribió una carta de cuatro páginas al presidente de la FTC, Andrew Ferguson, vende a Redmonds de Redmonds a «víctimas».
El desarrollo se produce después de que la oficina de Wyden recuperó nueva información de la Ascensión del sistema de salud el año pasado, lo que resultó en el robo de información personal y médica relacionada con casi 5.6 millones de personas.
El ataque de ransomware, que también interrumpió el acceso a los registros de salud electrónicos, se atribuyó a un grupo de ransomware conocido como Black Busta. La violación se ubica como el tercer incidente más grande relacionado con la atención médica del año pasado, según el Departamento de Salud y Servicios Humanos de EE. UU.
Según la oficina del senador, se produjo una violación cuando un contratista hizo clic en un enlace malicioso después de realizar una búsqueda web en el motor de búsqueda de Bing de Microsoft, lo que provocó que el sistema se infectara con malware. Luego, el atacante aprovechó la «configuración predeterminada peligrosa e inestable» en el software de Microsoft para obtener un aumento en el acceso a las partes más sensibles de la red de Ascension.
Esto implicó el uso de una técnica llamada Kerberoasting, que se dirigió al protocolo de autenticación Kerberos, extrayendo credenciales de cuenta de servicio cifradas de Active Directory.
Kerberoasting «explota la tecnología de cifrado volátil de la década de 1980 conocida como» RC4 «, que todavía es compatible con el software de Microsoft en su configuración predeterminada», agregó la oficina de Wyden, que instó a Microsoft a advertir a los clientes sobre la amenaza planteada por la amenaza el 29 de julio de 2024.
RC4 significa Rivest Cipher 4 y es un cifrado de flujo desarrollado por primera vez en 1987. Originalmente se pretendía como un secreto comercial. Se filtró en un foro público en 1994. A partir de 2015, la Fuerza de Tarea de Ingeniería (ETF) prohibió el uso de RC4 en TLS, citando «varias distorsiones».
Finalmente, en octubre de 2024, Microsoft publicó una alerta que describe los pasos que los usuarios pueden proteger, además de indicar planes de culpar a los planes de denunciar el soporte RC4 como una actualización futura para Windows 11 24h2 y Windows Server 2025 –
Las cuentas que son más vulnerables a la kerberoasting son aquellas con contraseñas débiles y aquellas que usan algoritmos de cifrado, especialmente RC4. RC4 no usa sal ni hash iterativo al convertir contraseñas en claves de cifrado, lo que lo hace susceptible a los ataques cibernéticos y permite a los actores de amenaza cibernética adivinar más contraseñas más rápidamente.
Sin embargo, al usar contraseñas débiles, otros algoritmos de cifrado siguen siendo vulnerables. AD no intenta usar RC4 por defecto, pero RC4 está actualmente habilitado de forma predeterminada. Esto significa que el actor cibernético intentará solicitar un boleto encriptado con RC4. RC4 está en desuso y tengo la intención de deshabilitarlo de forma predeterminada en futuras actualizaciones para Windows 11 24h2 y Windows Server 2025.
Microsoft, que eliminó el soporte para el estándar de cifrado de datos de Kerberos (DES) para Windows Server 2025 y Windows 11, dijo que introdujo mejoras de seguridad para el servidor 2025 versión 24h2 a principios de febrero.
Algunas de las mitigaciones recomendadas de Microsoft para mejorar el entorno para la kerberoasting son –
Si es probable que use una cuenta de servicio administrada del grupo (GMSA) o una cuenta de servicio administrada delegada (DMSA), asegure su cuenta de servicio estableciendo una contraseña larga que se genera al azar 14 caracteres.
Sin embargo, Wyden escribe que el software de Microsoft no obliga a una longitud de contraseña de 14 caracteres para cuentas privilegiadas, y que el soporte continuo de la compañía para la tecnología de cifrado RC4 inestable «expondrá innecesariamente» a los clientes a Ransomware y otras amenazas cibernéticas por parte de los atacantes que agrietan la contraseña para cuentas privilegiadas.
Hacker News contactó a Microsoft para hacer comentarios. Si has oído hablar de eso, actualizaré la historia. Esta no es la primera vez que un fabricante de Windows ha sido volado bajo las prácticas de ciberseguridad.
En un informe publicado el año pasado, la Junta de Revisión de Seguridad Cibernética de los Estados Unidos (CSRB) culpó a la compañía por una serie de errores evitables que podrían evitar que un actor de amenaza chino conocido como Storm-0558 violara los buzones en línea de 22 organizaciones y más de 500 personas en todo el mundo.
«Al final, el rendimiento abismal de ciberseguridad de Microsoft no afectó sus contratos federales favorables debido a su posición de mercado dominante e inacción del gobierno, enfrentando una serie de fallas de seguridad de la compañía», argumentó la oficina de Wyden.
«Esta carta destaca las tensiones de larga data en la ciberseguridad empresarial: un equilibrio entre el soporte para los sistemas heredados y los valores predeterminados para asegurar el diseño», dijo Ensar Seker, CISO en Sócradar. «Se refiere a los riesgos sistemáticos heredados de la complejidad de las configuraciones predeterminadas y la arquitectura de ecosistemas de software ampliamente adoptados como Microsoft. Una vez que un solo proveedor es la base de una infraestructura nacional, una decisión sobre diseño de seguridad o falta de él, puede tener consecuencias».
«Al final, esto no culpa a una compañía. Es para reconocer que la seguridad nacional está estrechamente vinculada a los valores predeterminados en la configuración de las plataformas de TI dominantes. Las agencias de negocios y del sector público deben estar preparados para solicitar un valor predeterminado más seguro y adaptarse cuando se ofrecen».
Source link
