В Сенате США требуют начала расследования против Microsoft из-за использования устаревшего шифрования RC4

Американский сенатор Рон Уайден обвинил компанию Microsoft в «грубой халатности» в сфере кибербезопасности и потребовал от Федеральной торговой комиссии (FTC) официального расследования. Поводом стало масштабное проникновение в сеть медицинской организации Ascension в 2024 году, в результате которого были скомпрометированы данные 5,6 млн пациентов.

По заявлению Рона Уайдена, киберинцидент начался с заражения ноутбука подрядчика, а затем вредоносное ПО распространилось через уязвимости в инфраструктуре Active Directory. Ключевым фактором, позволившим атакующим получить контроль над системой, сенатор считает использование устаревшего шифрования RC4 в протоколе Kerberos, который по умолчанию продолжает применяться в Windows.

Алгоритм RC4 считается небезопасным уже несколько десятилетий. Первые успешные взломы его криптографических ограничений датируются ещё 90-ми годами, а техника «kerberoasting», позволяющая извлекать и взламывать пароли администраторов домена, была описана исследователями в 2014 году. Несмотря на это, RC4 остаётся частью ряда конфигураций Windows — в том числе в корпоративных средах, где он применяется без дополнительной защиты.

Сенатор Рон Уайден резко раскритиковал подход Microsoft, заявив, что компания «создала ситуацию, при которой один клик по вредоносной ссылке способен обрушить всю инфраструктуру организации». Он также обвинил корпорацию в двуличии, сравнив её действия с «поджигателем, который затем предлагает свои услуги в роли пожарного».

По мнению экспертов, RC4 не только устарел, но и не применяет соль, а для хэширования использует слабый алгоритм MD4, что делает пароли крайне уязвимыми для атак методом перебора. При использовании современных видеокарт злоумышленник способен подбирать миллиарды комбинаций в секунду, особенно если речь идёт о стандартных административных учётных записях.

Microsoft, в свою очередь, заявила, что RC4 применяется «менее чем в 0,1% случаев», а его мгновенное отключение потенциально нарушит работу унаследованных систем клиентов. Тем не менее, в компании пообещали, что начиная с Windows Server 2025, поддержка RC4 будет отключена по умолчанию в новых установках Active Directory.

Рон Уайден остался недоволен таким ответом. Он считает недопустимым тот факт, что Microsoft ограничивается техническими блогами, размещёнными «в тёмных уголках сайта», вместо того чтобы открыто предупреждать пользователей о рисках, связанных с использованием уязвимых конфигураций.

Ранее сенатор уже поднимал вопросы об ответственности крупных ИТ-компаний за системные уязвимости, подчеркивая, что недостаток открытости и затягивание с исправлениями создают угрозу для национальной инфраструктуры. Новый виток критики против Microsoft демонстрирует нарастающее недоверие со стороны государственных органов к политикам кибербезопасности крупнейших технологических вендоров.