Η Microsoft έχει γίνει σαν έναν εμπρηστή που πουλάει υπηρεσίες πυρόσβεσης στα θύματά του, λέει Αμερικανός γερουσιαστής, παραπέμποντάς το στην FTC λόγω ενός προβλήματος κυβερνοασφάλειας, αν και η Microsoft δηλώνει ότι έχει ένα σχέδιο.

Κατηγορίες για Ελλιπή Κυβερνοασφάλεια

Ο γερουσιαστής των ΗΠΑ Ron Wyden απέστειλε επιστολή στην FTC, ζητώντας να διερευνηθεί η Microsoft για αυτό που αποκαλεί «σοβαρή αμέλεια στην κυβερνοασφάλεια». Η κύρια ανησυχία του αφορά μια μορφή κρυπτογράφησης που εξακολουθεί να υποστηρίζεται από το λειτουργικό σύστημα Windows, την οποία το γραφείο του θεωρεί ευάλωτη σε επιθέσεις ransomware.

Επιστολή και Αποκαλύψεις

Στην επιστολή [Προειδοποίηση PDF], ο Wyden αποκαλύπτει ότι έρευνα του γραφείου του για μια παραβίαση ransomware στην εταιρεία υγείας Ascension πέρυσι έδειξε πως η υποστήριξη του αλγορίθμου RC4 συνέβαλε άμεσα στην επίθεση (μέσω Ars Technica). Ο Wyden αναφέρει ότι λόγω επικίνδυνων επιλογών λογισμικού από τη Microsoft, που δεν γνωστοποιήθηκαν επαρκώς στους πελάτες της, ένα απλό λάθος ενός χρήστη μπορεί να οδηγήσει σε εκτεταμένη μόλυνση με ransomware σε ολόκληρο οργανισμό.

Ιστορικό του RC4 και Εφαρμογή στα Windows

Ο RC4, ή Rivest Cipher 4, δημιουργήθηκε το 1987 και θεωρούνταν ασφαλής μέχρι το 1994, όταν αποκαλύφθηκαν τεχνικές λεπτομέρειες που τον έκαναν ευάλωτο. Παρά τα προβλήματα, ο RC4 χρησιμοποιήθηκε ευρέως σε πρωτόκολλα κρυπτογράφησης μέχρι πριν από περίπου δέκα χρόνια και εξακολουθεί να χρησιμοποιείται από τη Microsoft για την ασφάλεια του Active Directory, το οποίο διαχειρίζεται λογαριασμούς χρηστών στα Windows.

Τρωτότητα και Τεχνικές Επίθεσης

Αν και τα Windows χρησιμοποιούν από προεπιλογή κρυπτογράφηση AES, το γραφείο του γερουσιαστή διαπίστωσε ότι οι διακομιστές Windows εξακολουθούν να ανταποκρίνονται σε αιτήματα ταυτοποίησης με RC4, επιτρέποντας επιθέσεις τύπου “Kerberoasting“. Αυτή η τεχνική δίνει διαχειριστικά δικαιώματα μέσω εκμετάλλευσης της κρυπτογράφησης σε ένα μηχάνημα, επιτρέποντας την εγκατάσταση ransomware σε άλλα.

Περιστατικό στην Ascension

Στην περίπτωση της Ascension, ο γερουσιαστής υποστηρίζει ότι ένας εργολάβος που έκανε κλικ σε κακόβουλο σύνδεσμο επέτρεψε στους εισβολείς να κινηθούν εντός του δικτύου, εκμεταλλευόμενοι την αδύναμη κρυπτογράφηση για να διαδώσουν ransomware σε χιλιάδες υπολογιστές και να υποκλέψουν ευαίσθητα δεδομένα 5,6 εκατομμυρίων ασθενών.

Επικοινωνία με Microsoft και Καθυστερήσεις

Ο γερουσιαστής αναφέρει ότι το γραφείο του επικοινώνησε με τη Microsoft για το πρόβλημα, και η εταιρεία δημοσίευσε σχετικές οδηγίες, αλλά η αναμενόμενη ενημέρωση ασφαλείας δεν έχει ακόμη κυκλοφορήσει. Τονίζει ότι το περιστατικό δείχνει πως το κόστος των επικίνδυνων πρακτικών της Microsoft το επωμίζονται οι πελάτες και το κοινό.

Κριτική για Επιχειρηματικές Πρακτικές

Ο Wyden υποστηρίζει ότι η Microsoft επωφελείται από την κατάσταση, καθώς αντί να προσφέρει ασφαλές λογισμικό, έχει δημιουργήσει μια δευτερεύουσα αγορά δισεκατομμυρίων πουλώντας πρόσθετες υπηρεσίες κυβερνοασφάλειας σε όσους μπορούν να τις πληρώσουν. Παρομοιάζει τη Microsoft με εμπρηστή που πουλά υπηρεσίες πυρόσβεσης στα θύματά του.

Κάλεσμα για Διερεύνηση

Ο γερουσιαστής κλείνει την επιστολή του καλώντας την FTC να ερευνήσει τη Microsoft και να την καταστήσει υπεύθυνη για τη «σοβαρή ζημιά που προκάλεσε παρέχοντας επικίνδυνο, μη ασφαλές λογισμικό στην κυβέρνηση των ΗΠΑ και σε κρίσιμες υποδομές, όπως ο τομέας υγείας».

Απάντηση της Microsoft

Η Microsoft ανταποκρίθηκε με δήλωση σε διάφορα μέσα, συμπεριλαμβανομένου του Ars Technica, λέγοντας ότι ο RC4 είναι παλιό πρότυπο και αποθαρρύνουν τη χρήση του τόσο στον σχεδιασμό του λογισμικού όσο και στην τεκμηρίωση προς τους πελάτες, γι’ αυτό και αποτελεί λιγότερο από το 0,1% της κίνησής τους. Ωστόσο, η πλήρης απενεργοποίησή του θα προκαλούσε προβλήματα σε πολλά συστήματα πελατών. Για τον λόγο αυτό, η εταιρεία σχεδιάζει σταδιακή μείωση της χρήσης του RC4, παρέχοντας ισχυρές προειδοποιήσεις και συμβουλές για ασφαλέστερη χρήση, με τελικό στόχο την πλήρη απενεργοποίηση. Η Microsoft δηλώνει ότι έχει επικοινωνήσει με το γραφείο του γερουσιαστή και θα συνεχίσει να απαντά σε ερωτήσεις από κυβερνητικούς φορείς.

Μελλοντικά Μέτρα Ασφαλείας

Η Microsoft αναφέρει ότι το πρώτο τρίμηνο του 2026, κάθε νέα εγκατάσταση Active Directory Domains με Windows Server 2025 θα έχει τον RC4 απενεργοποιημένο από προεπιλογή, διασφαλίζοντας ότι τα νέα domains θα προστατεύονται από επιθέσεις που εκμεταλλεύονται αδυναμίες του RC4. Επιπλέον, σχεδιάζονται πρόσθετα μέτρα για υπάρχουσες εγκαταστάσεις, λαμβάνοντας υπόψη τη συμβατότητα και τη συνέχεια κρίσιμων υπηρεσιών πελατών.