Um senador dos Estados Unidos solicitou formalmente à Federal Trade Commission (FTC) que investigue a Microsoft por falhas graves de segurança nos seus produtos. A acusação, liderada por Ron Wyden, alega que a negligência da empresa resultou em ciberataques de ransomware contra infraestruturas críticas, incluindo organizações de saúde.
O senador acusa a Microsoft de não tomar medidas decisivas para mitigar riscos de segurança bem documentados, o que levou a incidentes de grande impacto. Wyden considera que, a menos que a FTC intervenha, a cultura de “cibersegurança negligente” da empresa representa uma séria ameaça à segurança nacional.
O ataque à Ascension Health que comprometeu milhões de pacientes
O ponto central da queixa é o ataque de ransomware de maio de 2024 à Ascension Health, uma das maiores redes de saúde dos EUA. Neste incidente, os dados de 5,6 milhões de pacientes foram comprometidos, causando perturbações massivas nos serviços médicos.
A porta de entrada para os atacantes foi surpreendentemente simples: um funcionário de uma empresa contratada clicou num resultado de pesquisa malicioso no Bing, utilizando o navegador Microsoft Edge. A partir daí, os hackers conseguiram executar um ataque conhecido como “Kerberoasting“.
Kerberoasting e o calcanhar de Aquiles do algoritmo RC4
Mas o que é o Kerberoasting? Trata-se de uma técnica de pós-compromisso que permite aos atacantes extrair credenciais de contas de serviço encriptadas do Microsoft Active Directory, um componente central em muitas redes empresariais baseadas em Windows.
O ataque explora palavras-passe fracas ou fáceis de adivinhar, que por vezes são encriptadas com o algoritmo RC4, um método antigo e considerado inseguro. Uma vez obtidas, estas credenciais podem ser decifradas com ferramentas de força bruta facilmente disponíveis, permitindo aos atacantes escalar privilégios e mover-se lateralmente pela rede comprometida, como aconteceu no caso da Ascension Health.
Microsoft já tinha sido alertada, mas a resposta foi insuficiente
O senador Wyden revela que a sua equipa se reuniu com a Microsoft em julho de 2024, pedindo à gigante tecnológica que alertasse os seus clientes sobre os perigos de usar o RC4 em vez de opções mais robustas como o AES 128/256, e que tornasse este último o padrão.
Em resposta, a empresa publicou um artigo no seu blogue em outubro, que o senador descreveu como “altamente técnico” e que falhou em comunicar claramente o aviso aos decisores dentro das empresas. Apesar de ser um algoritmo fraco e com vulnerabilidades conhecidas, o RC4 continua a ser uma opção no protocolo de autenticação Kerberos.
Microsoft defende-se e aponta para a compatibilidade com sistemas legados
A Microsoft defendeu a sua posição. Um porta-voz afirmou que “o RC4 é um padrão antigo, e desaconselhamos o seu uso tanto na engenharia do nosso software como na documentação para os clientes”. A empresa refere que este tráfego representa menos de 0,1% do total.
A justificação para a sua manutenção é a necessidade de suportar sistemas mais antigos que não aceitam algoritmos mais recentes e seguros. Desativá-lo por completo “iria quebrar muitos sistemas de clientes”. A empresa garante que tem planos para desativar o seu uso gradualmente e que continuará a dialogar com o gabinete do senador.
Até ao momento, a FTC ainda não respondeu publicamente ao pedido de investigação do senador Wyden.
(TT)