- 20,473
- 46
- 8 Ноя 2022
RC4 пережил эпоху модемов, но именно он стал дверью для вымогателей в крупнейшую медсеть США.
Сенатор США Рон Уайден направил письмо в Федеральную торговую комиссию (FTC) с требованием провести расследование в отношении Microsoft, обвинив компанию в «грубой халатности» в сфере кибербезопасности. Поводом стало использование в Windows устаревшего и небезопасного алгоритма шифрования RC4, который до сих пор применяется по умолчанию для Active Directory. По данным расследования офиса сенатора, именно эта особенность сыграла ключевую роль в масштабной атаке на медицинскую корпорацию Ascension в 2024 году, приведшей к компрометации данных 5,6 миллиона пациентов.
Уайден подчеркнул, что из-за «опасных инженерных решений» злоумышленнику достаточно одного заражённого ноутбука сотрудника, чтобы через Active Directory развернуть вымогательское ПО на тысячах систем. В случае с Ascension первоначальной точкой входа стало устройство подрядчика, с которого через Microsoft Edge был выполнен поиск в Bing. Получив доступ, хакеры использовали технику kerberoasting для перебора паролей привилегированных учётных записей и дальнейшего распространения программы-вымогателя по всей сети.
RC4, созданный в 1987 году Роном Ривестом, давно признан уязвимым: алгоритм был взломан ещё в 1994 году и с тех пор многократно подвергался успешным атакам. В большинстве протоколов связи он снят с использования, но в Active Directory остаётся базовым механизмом в Kerberos-аутентификации. Несмотря на наличие более современных алгоритмов, многие организации продолжают работать с настройками по умолчанию. Такая конфигурация позволяет злоумышленникам запрашивать у сервера Kerberos зашифрованные паролем тикеты, которые можно вынести за пределы сети и расшифровывать с помощью мощных GPU. Из-за отсутствия соли и итераций в используемом хэше MD4 атакующий способен перебирать миллиарды вариантов в секунду.
Криптограф из Университета Джонса Хопкинса Мэтт Грин назвал архитектуру Kerberos с RC4 «ошибкой, которую следовало устранить десятилетия назад». Он отметил, что даже длинные пароли, формально соответствующие рекомендациям, не спасают от перебора при использовании такой схемы. Дополнительным фактором риска служит распространённая неправильная настройка Active Directory, когда обычные пользователи получают доступ к функциям, предназначенным для администраторов. Это делает kerberoasting ещё более доступным способом атаки.
Microsoft в ответ заявила, что использование RC4 составляет менее 0,1% трафика и компания настоятельно не рекомендует применять этот алгоритм. При этом корпорация признала, что полное отключение приведёт к неработоспособности у ряда клиентов, поэтому отказ от RC4 планируется постепенно. По информации Microsoft, в первом квартале 2026 года новые установки доменов Active Directory на базе Windows Server 2025 будут автоматически работать без поддержки RC4. Для действующих систем готовятся дополнительные меры, которые должны минимизировать риски при сохранении совместимости.
Уайден, однако, считает, что компания сознательно скрывает опасность, ограничиваясь малозаметными публикациями в технических блогах, вместо того чтобы прямо предупредить корпоративных заказчиков. Он также раскритиковал модель бизнеса Microsoft, где основной софт остаётся уязвимым, а дополнительные услуги по киберзащите продаются отдельно. По его словам, это напоминает ситуацию, когда «поджигатель торгует пожарными услугами своим жертвам». Эксперты рекомендуют организациям следовать лучшим практикам безопасности для учётных записей служб Active Directory .
Microsoft, в свою очередь, утверждает, что ведёт диалог с сенатором и готова к сотрудничеству с правительственными органами, подчёркивая, что дорожная карта отказа от RC4 уже утверждена.
Сенатор США Рон Уайден направил письмо в Федеральную торговую комиссию (FTC) с требованием провести расследование в отношении Microsoft, обвинив компанию в «грубой халатности» в сфере кибербезопасности. Поводом стало использование в Windows устаревшего и небезопасного алгоритма шифрования RC4, который до сих пор применяется по умолчанию для Active Directory. По данным расследования офиса сенатора, именно эта особенность сыграла ключевую роль в масштабной атаке на медицинскую корпорацию Ascension в 2024 году, приведшей к компрометации данных 5,6 миллиона пациентов.
Уайден подчеркнул, что из-за «опасных инженерных решений» злоумышленнику достаточно одного заражённого ноутбука сотрудника, чтобы через Active Directory развернуть вымогательское ПО на тысячах систем. В случае с Ascension первоначальной точкой входа стало устройство подрядчика, с которого через Microsoft Edge был выполнен поиск в Bing. Получив доступ, хакеры использовали технику kerberoasting для перебора паролей привилегированных учётных записей и дальнейшего распространения программы-вымогателя по всей сети.
RC4, созданный в 1987 году Роном Ривестом, давно признан уязвимым: алгоритм был взломан ещё в 1994 году и с тех пор многократно подвергался успешным атакам. В большинстве протоколов связи он снят с использования, но в Active Directory остаётся базовым механизмом в Kerberos-аутентификации. Несмотря на наличие более современных алгоритмов, многие организации продолжают работать с настройками по умолчанию. Такая конфигурация позволяет злоумышленникам запрашивать у сервера Kerberos зашифрованные паролем тикеты, которые можно вынести за пределы сети и расшифровывать с помощью мощных GPU. Из-за отсутствия соли и итераций в используемом хэше MD4 атакующий способен перебирать миллиарды вариантов в секунду.
Криптограф из Университета Джонса Хопкинса Мэтт Грин назвал архитектуру Kerberos с RC4 «ошибкой, которую следовало устранить десятилетия назад». Он отметил, что даже длинные пароли, формально соответствующие рекомендациям, не спасают от перебора при использовании такой схемы. Дополнительным фактором риска служит распространённая неправильная настройка Active Directory, когда обычные пользователи получают доступ к функциям, предназначенным для администраторов. Это делает kerberoasting ещё более доступным способом атаки.
Microsoft в ответ заявила, что использование RC4 составляет менее 0,1% трафика и компания настоятельно не рекомендует применять этот алгоритм. При этом корпорация признала, что полное отключение приведёт к неработоспособности у ряда клиентов, поэтому отказ от RC4 планируется постепенно. По информации Microsoft, в первом квартале 2026 года новые установки доменов Active Directory на базе Windows Server 2025 будут автоматически работать без поддержки RC4. Для действующих систем готовятся дополнительные меры, которые должны минимизировать риски при сохранении совместимости.
Уайден, однако, считает, что компания сознательно скрывает опасность, ограничиваясь малозаметными публикациями в технических блогах, вместо того чтобы прямо предупредить корпоративных заказчиков. Он также раскритиковал модель бизнеса Microsoft, где основной софт остаётся уязвимым, а дополнительные услуги по киберзащите продаются отдельно. По его словам, это напоминает ситуацию, когда «поджигатель торгует пожарными услугами своим жертвам». Эксперты рекомендуют организациям следовать лучшим практикам безопасности для учётных записей служб Active Directory .
Microsoft, в свою очередь, утверждает, что ведёт диалог с сенатором и готова к сотрудничеству с правительственными органами, подчёркивая, что дорожная карта отказа от RC4 уже утверждена.
- Источник новости
- www.securitylab.ru
