美国参议员指责微软“严重网络安全疏忽”

HackerNews 编译，转载请注明出处： 美国参议员罗恩·怀登（Ron Wyden）已向美国联邦贸易委员会（FTC）致信，要求该机构对微软展开调查，因其产品未能提供足够的安全性，导致针对医疗保健机构的勒索软件攻击。 参议员在正式提出请求时指出，微软应对其“严重的网络安全疏忽负责，这导致了针对关键基础设施（包括美国医疗保健机构）的勒索软件攻击”。 参议员强调，微软长期未能采取果断行动，有效缓解其产品中众所周知的安全风险，导致了诸如2024年Ascension Health勒索软件入侵事件的发生，该事件泄露了560万名患者的数据。 2024年5月发生的这起事件，是由于一名承包商在微软Edge浏览器中点击了一个恶意的必应搜索结果，从而使黑客得以实施“Kerberoasting”攻击。 Kerberos是一种网络认证协议，它通过验证用户和服务的身份（无需密码交换）来提供对网络资源的访问。 Kerberoasting是一种在被入侵后使用的攻击技术，它允许攻击者从微软活动目录中窃取加密的服务账户凭据。 该技术利用了弱密码或容易被猜出的密码，这些密码有时使用不安全且已废弃的RC4算法进行加密，可以用现成的暴力破解工具解密。 密码解密后，攻击者可以利用它提升权限，并在被入侵的网络中横向移动，就像在Ascension Health入侵事件中那样。 参议员表示，他的团队在2024年7月与微软进行了对话，敦促这家科技巨头警告客户使用RC4而不是更强大的选项（如AES 128/256）的危险性，并将后者设置为默认选项。 微软在10月发表了一篇博客文章作为回应，但参议员表示，该文章过于技术化，未能清晰地向公司决策者传达警告。 尽管RC4是一种存在漏洞、允许恢复明文信息的弱密码算法，但它仍然是Kerberos中的一个选项，以支持无法接受更新、更安全算法的旧系统。 值得注意的是，微软曾承诺加强其产品的安全性。RC4继续存在于Kerberos中，是为了支持那些不接受更新、更安全算法的旧系统。 怀登明确将微软的做法视为严重的国家安全风险，并表示，除非FTC进行干预，否则还会发生更多高影响的事件。 “如果没有及时采取行动，微软这种疏忽的网络安全文化，加上其在企业操作系统市场的事实垄断，将构成严重的国家安全威胁，并使更多的黑客入侵不可避免。”——美国参议员罗恩·怀登 BleepingComputer已就此事联系微软，请求其发表评论，一位发言人向我们发来了以下声明： “RC4是一项旧标准，我们在软件工程和客户文档中都建议不要使用它——这也是它在我们的流量中占比不到0.1%的原因。然而，完全禁用它会破坏许多客户系统。” 该公司正在积极努力逐步淘汰该算法，以避免给客户带来任何干扰，并且正在发出警告，同时提供关于“以最安全的方式”使用该算法的建议。 “我们已将其列入路线图，最终将禁用其使用。我们已与参议员办公室就这一问题进行了沟通，并将继续听取他们或其他政府机构的问题。”微软发言人对BleepingComputer表示。 截至目前，FTC尚未对怀登的请求做出公开回应。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文