Hogyan juthattak be a hackerek?
Az eset akkor robbant ki, amikor egy vállalkozó rákattintott egy fertőzött Bing keresési találatra a Microsoft Edge-ben, amit kihasználva a támadók Kerberoasting technikát alkalmaztak. A Kerberos egy hálózati azonosítási protokoll, amely jelszócsere nélkül azonosítja a felhasználókat. Kerberoasting során a támadók titkosított szolgáltatásfiók-jelszavakat lopnak a Microsoft Active Directoryból. Ha ezek a jelszavak gyengék — vagy például elavult és könnyen feltörhető RC4 algoritmussal titkosítják őket —, akkor a támadók elég gyorsan feltörhetik őket, majd jogosultságot növelhetnek és oldalirányban terjeszkedhetnek a hálózaton.
A Microsoft húzza az időt
A szenátor csapata 2024 júliusában külön figyelmeztette a Microsoftot, hogy világosan jelezzék ügyfeleiknek: az RC4 helyett használjanak erősebb, modern titkosítást, például AES-t. A Microsoft ugyan kiadott egy technikai elemzést októberben, de az olyan szakzsargonban íródott, hogy a cégek számára valódi figyelmeztetésnek nem számított. Az RC4 algoritmus még mindig használható a Kerberosban, főleg a régi rendszerek támogatása miatt, holott ismert sebezhetőségei miatt ma már veszélyes.
Folytatódhatnak a támadások
Wyden nem kertelt: a Microsoft viselkedése súlyos nemzetbiztonsági kockázat, és szerinte elkerülhetetlen, hogy újabb és újabb súlyos támadások történjenek, ha nem lép közbe a hatóság. Úgy fogalmazott, hogy a Microsoft monopóliuma, összefonódva a hanyag biztonsági kultúrával, elkerülhetetlenné teszi az újabb betöréseket — és az ebből adódó károkat.
A Microsoft védekezik, de lassan halad
A Microsoft szerint az RC4 már csak forgalmuk 0,1%-át érinti, eltávolítását tervezik, de pillanatnyilag a teljes letiltás ügyfélrendszereket bénítana meg. Fokozatosan vezetik ki az RC4-et, „biztonságosabb használatra” figyelmeztetnek, illetve kapcsolatban maradnak a döntéshozókkal. Az FTC még nem reagált a szenátor kezdeményezésére.
Durva statisztikák
A jelszavak feltörésére irányuló sikeres támadások aránya egy év alatt csaknem duplájára, 25%-ról 46%-ra nőtt, ami rávilágít a kockázatok mértékére a vállalati rendszerekben.
