El senador estadounidense
Ron Wyden ha instado a la Comisión Federal de Comercio (FTC) a investigar a Microsoft por lo que él califica como
«negligencia grave en ciberseguridad». Acusa al gigante tecnológico de haber implementado su sistema operativo Windows con un cifrado desactualizado que ha facilitado ataques devastadores de ransomware contra infraestructuras críticas en Estados Unidos, incluyendo sistemas de salud importantes.
En su carta, destaca la técnica de hacking conocida como
Kerberoasting, que se aprovecha del soporte continuo de Microsoft a
RC4, un método de cifrado obsoleto desarrollado en los años 80. Kerberoasting explota el protocolo de autenticación Kerberos, permitiendo a los actores maliciosos robar tickets de servicio Kerberos y descifrar las contraseñas en texto plano de las cuentas de servicio de red.
Aunque existen estándares de cifrado modernos, como AES, Microsoft no los ha configurado como opción predeterminada en su software Active Directory, ampliamente utilizado. Los ataques de Kerberoasting son difíciles de detectar debido al diseño intencionado de Kerberos. La parte más sospechosa del ataque (el descifrado de los tickets robados) ocurre fuera de línea.
Es importante señalar que
si el AD solo permite AES, el ataque sigue siendo factible (Kerberoasting, en esencia, es un tema de contraseñas débiles), pero requerirá más tiempo y recursos computacionales, incrementando así la dificultad y disminuyendo la probabilidad de éxito en ataques a gran escala.
El ataque de ransomware a Ascension
La carta menciona un ataque de ransomware en 2024 contra Ascension, uno de los sistemas de salud sin fines de lucro más grandes de EE. UU., como un claro ejemplo de las presuntas falencias de Microsoft.
El incidente comenzó cuando un contratista hizo clic en un enlace malicioso a partir de un resultado de búsqueda en Microsoft Bing, descargando malware sin darse cuenta. Desde este punto de entrada, los atacantes se desplazaron a través de la red de Ascension y utilizaron la técnica de Kerberoasting para explotar el cifrado débil RC4 en el servidor Microsoft Active Directory de la organización.
Esto les permitió obtener privilegios administrativos, implementar ransomware en miles de computadoras y robar datos confidenciales de 5,6 millones de pacientes, interrumpiendo gravemente la capacidad de Ascension para atender a sus pacientes.
En respuesta,
Microsoft publicó un artículo técnico en octubre de 2024, recomendando medidas de mitigación y prometiendo una futura actualización de software para desactivar el cifrado vulnerable RC4.
Sin embargo, Wyden criticó la divulgación de la compañía como insuficiente, señalando que se publicó en una sección poco visible de su sitio web, sin una promoción significativa. Además, once meses después, la actualización de seguridad prometida aún no había sido lanzada, dejando a muchas organizaciones expuestas.
Una
guía detallada de la CISA y la NSA, elaborada por agencias de seguridad nacional australianas en septiembre de 2024, identificó el Kerberoasting como la principal amenaza para el software Active Directory de Microsoft.
Referencias para mitigar el Kerberoasting
Con Información de blog.segu-info.com.ar