El senador estadounidense Ron Wyden ha solicitado a la Comisión Federal de Comercio (FTC) que investigue a Microsoft por lo que él denomina "negligencia grave en ciberseguridad", acusando al gigante tecnológico de implementar a sabiendas su sistema operativo Windows con un cifrado peligrosamente obsoleto que ha permitido devastadores ataques de ransomware contra infraestructuras críticas estadounidenses, incluyendo importantes sistemas de salud.
La carta destaca la técnica de hacking conocida como "Kerberoasting", que aprovecha el continuo apoyo de Microsoft a RC4, una tecnología de cifrado obsoleta desarrollada en la década de 1980. Kerberoasting explota el protocolo de autenticación Kerberos y permite que los actores de amenazas roben tickets de servicio Kerberos para descubrir las contraseñas en texto plano de las cuentas de servicio de red.
Si bien existen estándares de cifrado modernos y seguros, como AES, Microsoft no los ha establecido como requisito predeterminado en su ampliamente utilizado software Active Directory. Los ataques de kerberoasting son difíciles de detectar porque se benefician del diseño previsto de Kerberos. La parte más sospechosa de un ataque de este tipo (descifrar los tickets robados), ocurre fuera de línea.
Es importante señalar que si el AD sólo admite AES, el ataque sigue siendo posible (Kerberoasting es, en el fondo, un problema de contraseñas débiles), pero requiere más tiempo y coste computacional, lo que aumenta la dificultad y reduce la probabilidad de éxito para ataques a gran escala.
El ataque de ransomware a Ascension
La carta describe un ataque de ransomware ocurrido en 2024 contra Ascension, uno de los sistemas de salud sin fines de lucro más grandes de Estados Unidos, como un claro ejemplo de las supuestas fallas de Microsoft.
El incidente comenzó cuando un contratista hizo clic en un enlace malicioso de un resultado de búsqueda de Microsoft Bing, descargando malware sin darse cuenta. Desde este único punto de entrada, los atacantes se movieron por la red de Ascension y utilizaron la técnica Kerberoasting para explotar el débil cifrado RC4 en el servidor Microsoft Active Directory de la organización.
Esto les permitió obtener privilegios administrativos, implementar ransomware en miles de computadoras y robar datos confidenciales de 5,6 millones de pacientes. El ataque interrumpió gravemente la capacidad de Ascension para brindar atención médica a los pacientes.
En respuesta, Microsoft publicó una entrada de blog altamente técnica en octubre de 2024, recomendando medidas de mitigación y prometiendo una futura actualización de software para desactivar el cifrado RC4 vulnerable.
Sin embargo, Wyden criticó la divulgación de la compañía por inadecuada, señalando que se publicó en una sección poco visible de su sitio web sin publicidad significativa. Además, once meses después, la actualización de seguridad prometida aún no se ha publicado, lo que deja a innumerables organizaciones vulnerables.
Una guía completa de la CISA y la NSA, elaborada por las agencias de seguridad nacional australianas en septiembre de 2024, identificó el Kerberoasting como la principal amenaza contra el software Active Directory de Microsoft.
Referencias para mitigar el Kerberoasting
-
NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity
Misconfigurations
Microsoft's guidance to help mitigate Kerberoasting - Directory Hardening Series – Part 4 – Enforcing AES for Kerberos – Microsoft Community Hub
- Stopping Active Directory attacks and other post-exploitation behavior with AMSI and machine learning | Microsoft Security Blog
- Network security Configure encryption types allowed for Kerberos – Windows 10 | Microsoft Learn,
- Decrypting the Selection of Supported Kerberos Encryption Types – Microsoft Community Hub
- Delegated Managed Service Accounts FAQ | Microsoft Learn