"כמו מצית שמוכר שירותי כיבוי": חקירה חדשה תיפתח נגד מיקרוסופט?

הסנאטור הדמוקרטי רון ויידן טוען כי ענקית הטכנולוגיה מתרשלת ולא מספקת הגנת סייבר איכותית מספיק במוצריה

{ אבטחה וסייבר }
ניב גילינסקי
14.9.25

סאטיה נדלה, מנכ"ל מיקרוסופט. תמונה: מיקרוסופט

האם מיקרוסופט עומדת בפני חקירה חדשה מול רשויות החוק בארצות הברית? במהלך סוף השבוע דווח כי הסנאטור הדמוקרטי רון ויידן שלח מכתב רשמי לוועדת הסחר הפדרלית (ה-FTC) וביקש לפתוח בחקירה בטענה ש-Microsoft לא סיפקה הגנה איכותית מספיק במוצריה השונים, ובעקבות כך מוסדות בריאות נפלו להונאות ומתקפות כופרה.

תמונה: U.S. Senate Photographic Studio, ויקיפדיה

ויידן, שמכהן מאז שנת 1996 ברציפות, טען כי "יש לקבוע כי מיקרוסופט אחראית לרשלנות חמורה באבטחת סייבר, שהובילה למתקפות כופרה נגד תשתיות קריטיות, כולל מוסדות בריאות אמריקאיים". במכתבו הוא מפרט כיצד החברה כשלה לאורך זמן רב בטיפול ראוי בסיכוני אבטחה שונים שתועדו במוצריה ובכך אפשרה לתוקפים פתח לביצוע פשעיהם. כדוגמה הוא ציין מתקפה משנת 2024 נגד רשת בתי החולים Ascension Health, שבה נגנב מידע רפואי של 5.6 מיליון מטופלים.

לפי דוח המתקפה, היא התרחשה לאחר שקבלן לחץ על לינק זדוני שהופיע במנוע החיפוש Bing בדפדפן Microsoft Edge, מה שאפשר לתוקפים לבצע מתקפה מסוג "Kerberoasting", המנצלת פרוטוקול Kerberos כדי לגנוב סיסמאות מוצפנות של חשבונות שירות מתוך Active Directory, תוך הסתמכות על סיסמאות חלשות או מוצפנות באלגוריתם הישן והפגיע RC4. לאחר פענוח הסיסמה, התוקפים היו יכולים לעלות הרשאות ולנוע לרוחב ברשת – כפי שקרה בפרצת האבטחה ב-Ascension Health.

הסנאטור הוותיק טען כי צוותו שוחח עם מיקרוסופט כחודשיים לאחר המתקפה וכי הוא ביקש מהחברה להתריע ללקוחות על הסיכונים שבהמשך השימוש ב-RC4, ולעבור כברירת מחדל לאלגוריתמים חזקים יותר. מיקרוסופט פרסמה באוקטובר פוסט טכני בבלוג שלה, אך לדברי הסנאטור, הפוסט היה טכני מדי ולא כלל אזהרה ברורה למקבלי החלטות בארגונים. כיום, RC4 עדיין זמין לשימוש בפרוטוקול Kerberos.

עניין של ביטחון לאומי?

ווידן ציין במכתבו כי הוא רואה בנושא סכנה ביטחונית של ממש: "ללא פעולה מיידית, התרבות הרשלנית של Microsoft באבטחת סייבר, בשילוב עם היותה מונופול בפועל של מערכות הפעלה ארגוניות, מהווה איום ביטחוני חמור ופותחת פתח למתקפות נוספות". עוד הוא כתב כי "בשלב הזה, מיקרוסופט הפכה להיות כמו מצית שמוכר שירותי כיבוי אש לקורבנות שלו".

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

בתגובה לדיווח של אתר BleepingComputer, במיקרוסופט מסרו כי "RC4 הוא תקן ישן, ואנחנו ממליצים שלא להשתמש בו גם בתכנון המוצרים שלנו וגם בתיעוד ללקוחות. זו גם הסיבה שפחות מ-0.1% מהתעבורה שלנו עושה בו שימוש. עם זאת, השבתה מוחלטת עלולה לגרום לתקלות במערכות רבות של לקוחות".

לדברי החברה, היא פועלת בהדרגה להסרת האלגוריתם הבעייתי מבלי שפעילות הלקוחות תיפגע. "אנחנו בקשר עם לשכת הסנאטור ונמשיך להקשיב ולענות לשאלות שלו או של גורמים ממשלתיים אחרים," אמר הדובר.

ארצות הברית מציעה פרס של 11 מיליון דולר על האקר אוקראיני

תגיות: , , , , , , , , , ,

Geektime Insider

הבא
הקודם

אירועים קרובים

לכל האירועים

משרות

לצפייה בכל המשרות

משרות פתוחות

לכל המשרות

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם

הקודם
הבא