Angebot für Mehrfachlizenz-Rabatt
Computersicherheit Senator Wyden drängt auf FTC-Untersuchung gegen Microsoft...

Senator Wyden drängt auf FTC-Untersuchung gegen Microsoft wegen Ransomware-Sicherheitslücken

Von Sandos in Computersicherheit
Übersetzen Sie in:

US-Senator Ron Wyden hat die Federal Trade Commission (FTC) offiziell aufgefordert, gegen Microsoft wegen „grober Fahrlässigkeit im Bereich der Cybersicherheit“ zu ermitteln. Der Grund dafür ist ein Ransomware-Angriff auf den Gesundheitsdienstleister Ascension. Der Senator befürchtet, dass Microsofts Standard-Softwarekonfigurationen kritische Infrastrukturnetzwerke Angriffen aussetzen.

Der Auslöser: Der Ascension-Bruch und technische Schwachstellen

  • Überblick über den Vorfall: Im vergangenen Jahr wurde Ascension, ein großes Gesundheitssystem, von einem Ransomware-Angriff der Gruppe Black Basta getroffen, der fast 5,6 Millionen Menschen betraf. Der Angriff umfasste Datendiebstahl und die Störung elektronischer Patientenakten.
  • Ursprünglicher Angriffsvektor: Ein für Ascension tätiger Auftragnehmer klickte auf einen schädlichen Link, der über Microsofts Suchmaschine Bing entdeckt wurde. Dieser Klick löste Kettenreaktionen aus, die es Angreifern ermöglichten, unsichere Standardeinstellungen in Microsoft-Software auszunutzen.
  • Schwachstellen in der Standardsoftware: Laut dem Brief des Senators enthält Microsofts Software gefährlich unsichere Standardeinstellungen. Ein zentrales Problem ist die Unterstützung der RC4-Verschlüsselung im Kerberos-Authentifizierungsprotokoll. RC4 ist eine veraltete Verschlüsselung, die in der Kryptographieforschung als unsicher gilt. Obwohl sie in vielen modernen Systemen veraltet ist, blieb sie bei Microsoft standardmäßig aktiviert. Dies ermöglichte es Angreifern, mithilfe einer als Kerberoasting bekannten Technik Anmeldeinformationen für Dienstkonten aus dem Active Directory zu extrahieren.

Technische Besonderheiten: Kerberoasting, Standardchiffren und ausnutzbare Schwachstellen

  • Kerberoasting erklärt: In einer Active Directory-Umgebung fordern Dienstkonten mit Service Principal Names (SPNs) Kerberos-Tickets an. Sind diese Tickets mit schwachen Chiffren wie RC4 verschlüsselt, kann ein Angreifer das Ticket abgreifen und anschließend Offline-Angriffe (z. B. Brute-Force-Angriffe oder Kryptoanalyse) durchführen, um die Klartext-Anmeldeinformationen oder Geheimnisse des Dienstkontos abzurufen. In diesem Fall behauptet Wydens Büro, der Angriff habe sich diese RC4-geschützten Tickets zunutze gemacht.
  • RC4 ist wichtig: RC4 (Rivest Cipher 4), ein Stromchiffre aus den späten 1980er Jahren, ist seit Jahrzehnten für seine Schwachstellen bekannt – Verzerrungen im Schlüsselstrom und die Anfälligkeit für die Wiederherstellung von Klartext. Standardisierungsgremien (z. B. die IETF) haben seine Verwendung in sicheren Kanälen, insbesondere TLS, seit Mitte der 2010er Jahre aufgrund dieser Schwachstellen verboten. Microsoft unterstützt RC4 standardmäßig noch in Kerberos, was laut Wyden Kunden bei der Verwendung schwacher Passwörter „unnötig gefährdet“.
  • Passwortstärke und Dienstkonten: Der Senator betont außerdem, dass Microsoft keine strengen Passwortrichtlinien (z. B. mindestens 14 Zeichen, zufällig generierte Passwörter) für Dienstkonten vorschreibt und auch keine stärkeren Verschlüsselungsverfahren (AES-128 oder AES-256) für die Kerberos-Dienstticketverschlüsselung bei SPNs vorschreibt. Diese schwachen Richtlinien, kombiniert mit einer schwachen Standardverschlüsselung, erhöhen das Risiko einer Kompromittierung der Anmeldeinformationen.
  • Microsoft empfiehlt Maßnahmen: Als Reaktion auf Wydens Brief veröffentlichte Microsoft eine Richtlinie und kündigte an, die Nutzung von RC4 schrittweise einzustellen. Microsoft skizzierte außerdem Maßnahmen wie die Verwendung von Group Managed Service Accounts (gMSA) oder Delegated Managed Service Accounts (dMSA), die Prüfung von Konten mit SPNs, die Aktualisierung von Ticket-Verschlüsselungsalgorithmen und die Festlegung sicherer, zufällig generierter Passwörter für privilegierte Konten. Microsoft gab außerdem bekannt, dass RC4 in neuen Active Directory-Domänen mit Windows Server 2025 ab dem ersten Quartal 2026 standardmäßig deaktiviert sein wird.

    • Vorwürfe bezüglich Regulierung und Politik

    • Senator Wydens Kritik geht über einen einzelnen Verstoß hinaus. In seinem vierseitigen Brief an den FTC-Vorsitzenden Andrew Ferguson stellt er Microsoft als Opfer eines systemischen Problems dar: einer „Kultur der nachlässigen Cybersicherheit“, die durch das Quasi-Monopol bei Unternehmensbetriebssystemen noch verstärkt werde. Wyden bedient sich scharfer Metaphern und bezeichnet Microsoft als „einen Brandstifter, der seinen Opfern Feuerwehrdienste verkauft“.
    • In dem Brief wird behauptet, dass Microsofts Standardkonfigurationen (die standardmäßige Aktivierung veralteter, unsicherer Verschlüsselung und laxe Passwortrichtlinien) im Laufe der Zeit den grundlegenden Schutz vieler Organisationen geschwächt hätten – insbesondere im Gesundheitswesen und in kritischen Infrastrukturen. Der Brief legt nahe, dass Nachlässigkeit bei Standardeinstellungen und Konfigurationen nicht nur ein IT-Problem, sondern auch ein nationales Sicherheitsrisiko darstellt.

    Die Antwort von Microsoft

    • Das Unternehmen gibt zu, dass RC4 veraltet ist und dass Microsoft von dessen Verwendung „bei der Entwicklung unserer Software und in unserer Kundendokumentation“ abrät. Das Unternehmen gibt an, dass weniger als 0,1 % seines Datenverkehrs noch RC4 verwenden. Microsoft äußert jedoch auch Bedenken, dass eine sofortige vollständige Deaktivierung von RC4 zu Kompatibilitätsproblemen mit bestehenden Umgebungen führen könnte.
  • Microsoft hat sich verpflichtet, die RC4-Unterstützung schrittweise einzustellen, Kunden aber weiterhin eindringlich zu warnen und zu beraten. Darüber hinaus weist Microsoft darauf hin, dass neue AD-Domänen in Windows Server 2025 die RC4-Verschlüsselung standardmäßig deaktivieren.

    • Sicherheitsrisikobewertung

    • Angriffsfläche und kaskadierende Folgen: Wenn Softwareanbieter standardmäßig schwache Verschlüsselung oder schwache Kennwortrichtlinien zulassen, bieten sie Angreifern leichtes Spiel. Selbst sicherheitsbewusste Systemadministratoren können Konfigurationen übernehmen, die RC4 zulassen oder schwache Anmeldeinformationen zulassen, insbesondere in Umgebungen, in denen Kontinuität und Legacy-Kompatibilität einen hohen Stellenwert haben.
    • Ausnutzung von Sicherheitslücken: Kerberoasting-Angriffe sind nicht spekulativ; sie sind bekannt, dokumentiert und wurden bereits bei zahlreichen Sicherheitsverletzungen erfolgreich eingesetzt. Sobald die Anmeldeinformationen eines Dienstkontos kompromittiert sind, können Angreifer sich seitlich bewegen, Berechtigungen erweitern und auf sensible Daten zugreifen. Im Gesundheitswesen können dies persönliche Gesundheitsdaten, IoT-Geräte und kritische Infrastrukturen umfassen.
    • Auswirkungen auf Regulierung und Vertrauen: Da Microsoft tief in viele kritische Infrastrukturen und Unternehmensumgebungen eingebettet ist, verlagern Fehler bei der standardmäßigen Sicherheitskonfiguration die Verteidigungslast automatisch auf Unternehmen, denen möglicherweise das Fachwissen, die Ressourcen oder die Transparenz fehlen, um solche Schwachstellen zu erkennen. Der Reputationsschaden und das Haftungsrisiko sind erheblich.

    Regulatorische Auswirkungen

    • Die Anschuldigung von Senator Wyden wirft wichtige Fragen zur Produkthaftung , zu sicheren Standardeinstellungen und zur Verantwortung der Anbieter auf. Inwieweit sollten Softwareanbieter für unsichere Standardeinstellungen zur Verantwortung gezogen werden?
    • Regulierungsinstrumente wie die Befugnis der FTC, „unfaire oder irreführende Handlungen oder Praktiken“ zu untersuchen, können auf die Vernachlässigung der Softwaresicherheit angewendet werden. Sollte Microsoft fahrlässig gehandelt haben, könnte dies einen Präzedenzfall für die Regulierung von Standardkonfigurationen, Verschlüsselungsstandards und Kennwortanforderungen in weit verbreiteter Software schaffen.
    • Darüber hinaus gibt es ein allgemeineres normatives Problem: Sicherheit durch Vorgabe vs. Sicherheit durch Option . Wydens Position impliziert, dass die Vorgabewerte eher auf der Seite der Sicherheit liegen sollten, mit stärkeren Passwörtern, der Ablehnung schwacher kryptografischer Algorithmen und integrierten Sicherheitskonfigurationen – nicht als optionale Schalter.
  • Senator Wydens Brief an die FTC verdeutlicht das Zusammenspiel von Cybersicherheit, Regulierung und Unternehmensverantwortung. Der Ascension-Datenleck ist mehr als ein Einzelfall; er dient als Fallstudie dafür, wie weit verbreitete Softwarestandards, schwache Verschlüsselungsstandards und veraltete Kompatibilität zu groß angelegten Angriffen auf kritische Infrastrukturen führen können.

    • Senator Wydens Brief an die FTC verdeutlicht das Zusammenspiel von Cybersicherheit, Regulierung und Unternehmensverantwortung. Der Ascension-Datenleck ist mehr als ein Einzelfall; er dient als Fallstudie dafür, wie weit verbreitete Softwarestandards, schwache Verschlüsselungsstandards und veraltete Kompatibilität zu groß angelegten Angriffen auf kritische Infrastrukturen führen können.

    Während Microsoft beginnt, unsichere Verschlüsselungsverfahren schrittweise abzuschaffen und Richtlinien zu veröffentlichen, bleibt die zentrale Frage, ob Regulierungsmechanismen schnellere Veränderungen fordern, bessere Standardeinstellungen durchsetzen und Anbieter für die Entstehung von Risiken zur Verantwortung ziehen werden. Diese Angelegenheit verdient eine genaue Prüfung – nicht nur von Sicherheitsforschern, sondern auch von Regulierungsbehörden, Unternehmenskunden und der breiten Öffentlichkeit.

    Wird geladen...