Thượng nghị sĩ chỉ trích Microsoft vì đã làm cho Windows mặc định dễ bị tấn công bởi “Kerberoasting”

Một thượng nghị sĩ nổi tiếng của Hoa Kỳ đã kêu gọi Ủy ban Thương mại Liên bang điều tra Microsoft về “sơ suất nghiêm trọng về an ninh mạng, ” trích dẫn việc công ty tiếp tục sử dụng một hình thức mã hóa lỗi thời và dễ bị tổn thương mà Windows hỗ trợ theo mặc định.

Trong một thư với Chủ tịch FTC Andrew Ferguson, Thượng nghị sĩ Ron Wyden (D–Ore.) cho biết một cuộc điều tra mà văn phòng của ông đã tiến hành về vụ vi phạm ransomware năm 2024 đối với chăm sóc sức khỏe khổng lồ Ascension nhận thấy rằng sự hỗ trợ mặc định của mật mã mã hóa RC4 là nguyên nhân trực tiếp. Vụ vi phạm đã dẫn đến việc đánh cắp hồ sơ y tế của 5,6 triệu bệnh nhân.

Nó là lần thứ hai trong nhiều năm, Wyden đã sử dụng từ “sơ suất” để mô tả các hoạt động bảo mật của Microsoft.

“Quyết định công nghệ phần mềm nguy hiểm”

“Do các quyết định công nghệ phần mềm nguy hiểm của Microsoft mà công ty phần lớn đã giấu kín với các khách hàng doanh nghiệp và chính phủ của mình, một cá nhân tại bệnh viện hoặc tổ chức khác nhấp vào liên kết sai có thể nhanh chóng dẫn đến lây nhiễm ransomware trên toàn tổ chức,” Wyden đã viết trong bức thư được gửi hôm thứ Tư. “Microsoft đã hoàn toàn thất bại trong việc ngăn chặn hoặc thậm chí làm chậm tai họa ransomware được kích hoạt bởi phần mềm nguy hiểm của nó.”

RC4 là viết tắt của Rivest Cipher 4, một cái gật đầu với nhà toán học và mật mã Ron Rivest của RSA Security, người đã phát triển mật mã luồng vào năm 1987. Đó là mật mã độc quyền được bảo vệ bằng bí mật thương mại cho đến năm 1994, khi một bên ẩn danh đăng mô tả kỹ thuật của nó lên Danh sách thư Cypherpunks. Trong vòng vài ngày, thuật toán đã bị phá vỡ, có nghĩa là bảo mật của nó có thể bị xâm phạm bằng cách sử dụng các cuộc tấn công mật mã. Bất chấp khả năng bị tấn công như vậy, RC4 vẫn được sử dụng rộng rãi trong các giao thức mã hóa, bao gồm SSL và TLS kế nhiệm của nó, cho đến khoảng một thập kỷ trước.

Tuy nhiên, Microsoft vẫn tiếp tục theo mặc định hỗ trợ RC4 như một phương tiện để bảo mật Active Directory, một thành phần Windows mà quản trị viên sử dụng để định cấu hình và cung cấp tài khoản người dùng bên trong các tổ chức lớn. Theo mặc định, máy khách Windows sẽ xác thực bằng cách sử dụng tiêu chuẩn mã hóa AES an toàn hơn nhiều và các máy chủ sẽ phản hồi bằng cách sử dụng tiêu chuẩn tương tự. Nhưng theo mặc định, các máy chủ Windows sẽ phản hồi các yêu cầu xác thực dựa trên RC4 và trả về phản hồi dựa trên RC4.

Thiết kế này mang đến cơ hội lớn cho những tin tặc tìm cách xâm phạm một thiết bị duy nhất bên trong một mạng được củng cố tốt. Bằng cách làm cho thiết bị gửi yêu cầu xác thực dựa trên RC4, tin tặc có thể nhận được phản hồi và sau đó bẻ khóa hàm băm mật mã yếu để bảo mật mật khẩu cơ bản của nó.

Trong một bài blog được công bố hôm thứ Tư, chuyên gia mật mã Matt Green của Đại học Johns Hopkins cho biết việc tiếp tục hỗ trợ Kerberos và RC4— kết hợp với một cấu hình sai phổ biến cho phép người dùng không phải quản trị viên truy cập vào các chức năng Active Directory đặc quyền— sẽ mở các mạng tới “kerberoasting,” một hình thức tấn công sử dụng mật khẩu ngoại tuyến- bẻ khóa các cuộc tấn công chống lại các tài khoản được Kerberos bảo vệ chưa được định cấu hình để sử dụng các hình thức mã hóa mạnh hơn. Kerberoasting là một kỹ thuật tấn công được biết đến từ năm 2014.

Như chính Microsoft ghi nhận năm ngoái, ngay cả khi tài khoản Active Directory sử dụng mật khẩu mạnh mà thông thường không thể bẻ khóa, việc chọn RC4 làm mật mã cơ bản khiến chúng dễ bị tấn công mạng hơn vì [mật mã] không sử dụng muối hoặc hàm băm lặp lại khi chuyển đổi mật khẩu thành khóa mã hóa, cho phép tác nhân đe dọa mạng đoán nhanh hơn nhiều mật khẩu.“ Microsoft tiếp tục nói rằng họ sẽ vô hiệu hóa RC4 “theo mặc định” trong các bản cập nhật Windows trong tương lai không được chỉ định.

Wyden cho biết cuộc điều tra của văn phòng ông về vi phạm Ascension đã phát hiện ra rằng kẻ tấn công ransomware’ xâm nhập ban đầu vào mạng của gã khổng lồ y tế là sự lây nhiễm của máy tính xách tay của nhà thầu sau khi sử dụng Microsoft Edge để tìm kiếm trang Bing của Microsoft. Những kẻ tấn công sau đó đã có thể mở rộng quyền sở hữu của họ bằng cách tấn công Active Directory của Ascension và lạm dụng quyền truy cập đặc quyền của nó để đẩy phần mềm độc hại đến hàng ngàn máy khác bên trong mạng. Phương tiện để làm như vậy, Wyden nói: Kerberoasting.

“Microsoft đã trở thành một kẻ đốt phá

“Microsoft tiếp tục hỗ trợ công nghệ mã hóa RC4 cổ xưa, không an toàn khiến khách hàng của họ gặp phải phần mềm tống tiền và các mối đe dọa mạng khác một cách không cần thiết bằng cách cho phép tin tặc có quyền truy cập vào bất kỳ máy tính nào trên mạng công ty bẻ khóa mật khẩu của các tài khoản đặc quyền được quản trị viên sử dụng, ” Wyden viết. “Theo Microsoft, mối đe dọa này có thể được giảm thiểu bằng cách đặt mật khẩu dài ít nhất 14 ký tự, nhưng phần mềm của Microsoft không yêu cầu độ dài mật khẩu như vậy đối với các tài khoản đặc quyền.”

Ngoài ra, Green lưu ý, tốc độ tiếp tục của GPU có nghĩa là ngay cả khi mật khẩu có vẻ mạnh, chúng vẫn có thể rơi vào các cuộc tấn công bẻ khóa ngoại tuyến. Đó là bởi vì các băm mật mã bảo mật được tạo theo mặc định RC4/Kerberos không sử dụng muối mật mã và một lần lặp duy nhất của thuật toán MD4. Sự kết hợp này có nghĩa là một cuộc tấn công bẻ khóa ngoại tuyến có thể tạo ra hàng tỷ lần đoán mỗi giây, lợi thế gấp nghìn lần so với cùng một mật khẩu được băm bằng các phương thức xác thực không phải Kerberos.

Đề cập đến mặc định Active Directory, Green viết:

Nó thực sự là một thiết kế khủng khiếp đáng lẽ phải được loại bỏ từ nhiều thập kỷ trước. Chúng ta không nên xây dựng các hệ thống mà bất kỳ kẻ tấn công ngẫu nhiên nào xâm phạm một máy tính xách tay của nhân viên đều có thể yêu cầu một tin nhắn được mã hóa bằng mật khẩu quan trọng! Về cơ bản, điều này dẫn đến các cuộc tấn công bẻ khóa ngoại tuyến, thậm chí không cần phải thực hiện trên máy tính xách tay bị xâm nhập. Chúng có thể được xuất ra khỏi mạng đến một vị trí khác và được thực hiện bằng GPU và phần cứng khác.

Hơn 11 tháng sau khi công bố kế hoạch không dùng nữa RC4/Kerberos, công ty chưa đưa ra mốc thời gian để thực hiện việc đó. Hơn thế nữa, Wyden cho biết, thông báo được đưa ra trong một bài đăng trên blog “kỹ thuật cao trên một khu vực ít người biết đến của trang web của công ty vào một buổi chiều thứ Sáu.” Wyden cũng chỉ trích Microsoft vì đã từ chối “cảnh báo rõ ràng cho khách hàng của mình rằng họ dễ bị tấn công bởi kỹ thuật hack Kerberoasting trừ khi họ thay đổi cài đặt mặc định do Microsoft.” chọn