El senador estadounidense Ron Wyden ha pedido a la Comisión Federal de Comercio (FTC) que investigue a Microsoft y la responsabilice por lo que denominó «negligencia grave en materia de ciberseguridad» que permitió los ataques de ransomware contra la infraestructura crítica de EE. UU., incluso contra las redes de atención médica.
«Sin una acción oportuna, la cultura de ciberseguridad negligente de Microsoft, combinada con su monopolización de facto del mercado de sistemas operativos empresariales, representa una grave amenaza para la seguridad nacional y hace que los ataques adicionales sean inevitables», dijo Wyden escribió en una carta de cuatro páginas dirigida al presidente de la FTC, Andrew Ferguson, comparando a Redmond con un «pirómano que vende servicios de extinción de incendios a sus víctimas».
La noticia se produce después de que la oficina de Wyden obtuviera nueva información del sistema de salud Ascension, que sufrido un paralizante ataque de ransomware el año pasado, lo que resultó en el robo de información personal y médica asociada con casi 5.6 millones de personas .
El ataque de ransomware, que también interrumpió el acceso a los registros médicos electrónicos, se atribuyó a un grupo de ransomware conocido como Black Basta. Según el Departamento de Salud y Servicios Humanos de EE. UU., la violación ha sido clasificada como tercer incidente más grande relacionado con la atención médica durante el año pasado.
Según la oficina del senador, la violación se produjo cuando un contratista hizo clic en un enlace malicioso después de realizar una búsqueda web en el motor de búsqueda Bing de Microsoft, lo que provocó que su sistema se infectara con malware. Posteriormente, los atacantes aprovecharon la «configuración predeterminada peligrosamente insegura» del software de Microsoft para obtener un acceso elevado a las partes más sensibles de la red de Ascension.
Esto implicó el uso de una técnica llamada Tostado de kerberoato que apunta al protocolo de autenticación Kerberos para extraer las credenciales de cuentas de servicio cifradas de Active Directory.
Kerberoasting «explota una tecnología de cifrado insegura de la década de 1980 conocida como 'RC4' que todavía es compatible con el software de Microsoft en su configuración predeterminada», dijo la oficina de Wyden, añadiendo que instó a Microsoft a advertir a los clientes sobre la amenaza que representa la amenaza el 29 de julio de 2024.
RC4 , abreviatura de Rivest Cipher 4, es un cifrado de flujo que se desarrolló por primera vez en 1987. La intención original era ser un secreto comercial, pero se filtró en un foro público en 1994. A partir de 2015, la Fuerza de Tarea de Ingeniería (ETF) ha prohibido el uso de RC4 en TLS, citando una «variedad de debilidades criptográficas» que permiten la recuperación de texto sin formato.
Finalmente, Microsoft lo hizo publicar una alerta en octubre de 2024 en la que se describen las medidas que los usuarios pueden tomar para mantenerse protegidos, además de indicar sus planes de dejar de ofrecer soporte para RC4 en una futura actualización de Windows 11 24H2 y Windows Server 2025 -
Las cuentas más vulnerables al Kerberoasting son las que tienen contraseñas débiles y las que utilizan algoritmos de cifrado más débiles, especialmente RC4. RC4 es más vulnerable a los ciberataques porque no utiliza salitres ni métodos hash repetidos al convertir una contraseña en una clave de cifrado, lo que permite al ciberdelincuente adivinar más contraseñas rápidamente.
Sin embargo, otros algoritmos de cifrado siguen siendo vulnerables cuando se utilizan contraseñas poco seguras. Aunque AD no intenta usar RC4 de forma predeterminada, actualmente RC4 está activado de forma predeterminada, lo que significa que un ciberdelincuente puede intentar solicitar tickets cifrados con RC4. El RC4 quedará obsoleto y tenemos la intención de deshabilitarlo de forma predeterminada en una futura actualización de Windows 11 24H2 y Windows Server 2025.
Microsoft, que soporte eliminado para el Estándar de cifrado de datos (DES) de Kerberos para Windows Server 2025 y Windows 11, versión 24H2 a principios de febrero, dijo que también introducido mejoras de seguridad en el servidor 2025 que impiden que el centro de distribución de Kerberos emita tickets de concesión de tickets mediante el cifrado RC4, como RC4-HMAC (NT).
Algunas de las mitigaciones recomendadas por Microsoft para reforzar los entornos contra el Kerberoasting incluyen:
- Uso de cuentas de servicio administradas grupales (gMSA) o cuentas de servicio administradas delegadas (dMSA) siempre que sea posible
- Proteger las cuentas de servicio mediante el establecimiento de contraseñas largas generadas aleatoriamente que tengan al menos 14 caracteres
- Asegúrese de que todas las cuentas de servicio estén configuradas para usar AES (128 y 256 bits) para el cifrado de los tickets de servicio de Kerberos
- Auditoría de cuentas de usuario con nombres principales de servicio (SPN)
Sin embargo, Wyden escribió que el software de Microsoft no exige una contraseña de 14 caracteres para las cuentas privilegiadas y que el continuo apoyo de la empresa a la insegura tecnología de cifrado RC4 «expone innecesariamente» a sus clientes al ransomware y otras ciberamenazas al permitir a los atacantes descifrar las contraseñas de las cuentas privilegiadas.
The Hacker News se ha puesto en contacto con Microsoft para solicitar comentarios y actualizaremos la historia si recibimos noticias. Esta no es la primera vez que se critica al fabricante de Windows por sus prácticas de ciberseguridad.
En un informe publicado el año pasado, la Junta de Revisión de Seguridad Cibernética de los Estados Unidos (CSRB) arremetió contra a la empresa por una serie de errores evitables que podrían haber evitado que los actores de amenazas chinos conocidos como Storm-0558 pusieran en peligro los buzones de correo de Microsoft Exchange Online de 22 organizaciones y más de 500 personas de todo el mundo.
«En última instancia, el pésimo historial de ciberseguridad de Microsoft no ha tenido ningún impacto en sus lucrativos contratos federales gracias a su posición dominante en el mercado y a la inacción de las agencias gubernamentales ante la serie de fallos de seguridad de la empresa», argumentó la oficina de Wyden.
«La carta subraya una tensión de larga data en la ciberseguridad empresarial, el equilibrio entre el soporte de los sistemas heredados y el diseño seguro por defecto», afirma Ensar Seker, CISO de SocRadar. «Se trata del riesgo sistémico heredado de las configuraciones predeterminadas y de la complejidad arquitectónica de los ecosistemas de software ampliamente adoptados, como el de Microsoft. Cuando un solo proveedor pasa a ser la base de la infraestructura nacional, sus decisiones de diseño de seguridad, o la falta de ellas, pueden tener consecuencias en cascada».
«En última instancia, no se trata de culpar a una empresa. Se trata de reconocer que la seguridad nacional ahora está estrechamente vinculada a los valores predeterminados de configuración de las plataformas de TI dominantes. Tanto las empresas como los organismos del sector público deben exigir valores predeterminados más seguros desde el punto de vista del diseño y estar preparados para adaptarse cuando se ofrezcan».