Amerikaanse Senator Bekritiseert Microsoft om Cybersecurity Nalatenheid

Senator Ron Wyden heeft de Federal Trade Commission (FTC) verzocht om Microsoft te onderzoeken. Volgens him heeft Microsoft onvoldoende maatregelen genomen voor de beveiliging van zijn producten, wat geleid heeft tot ransomware-aanvallen op zorginstellingen.

Wyden stelt dat Microsoft verantwoordelijk moet worden gehouden voor wat hij noemt "ernstige nalatigheid op het gebied van cybersecurity", met als gevolg aanvallen op kritieke infrastructuur, waaronder Amerikaanse zorgorganisaties.

De senator wijst op Microsofts aanhoudende tekortkomingen in het aanpakken van bekende beveiligingsrisico’s, wat geleid heeft tot incidenten zoals de ransomware-aanval op Ascension Health in 2024. Bij deze aanval werden de gegevens van 5,6 miljoen patiënten gecompromitteerd.

De aanval vond plaats in mei 2024 toen een aannemer op een schadelijke Bing-zoekopdracht in Microsoft Edge klikte. Dit stelde hackers in staat een zogenaamde “Kerberoasting” aanval uit te voeren.

Kerberos is een netwerkauthenticatieprotocol dat gebruikers en diensten toegang geeft tot netwerkbronnen door hun identiteit te verifiëren zonder wachtwoorden uit te wisselen.

Kerberoasting is een techniek waarmee aanvallers versleutelde inloggegevens van serviceaccounts uit Microsoft Active Directory kunnen stelen. Deze techniek maakt gebruik van zwakke of gemakkelijk te raden wachtwoorden, soms versleuteld met het verouderde en onveilige RC4-algoritme, die met brute-force tools kunnen worden gekraakt.

Nadat de aanvallers het wachtwoord hadden ontcijferd, konden ze hun privileges verhogen en zich verspreiden door het netwerk, zoals in het geval van de Ascension Health-inbraak.

De senator verklaart dat zijn team in juli 2024 met Microsoft heeft gesproken en aandrong op waarschuwingen aan klanten over de gevaren van het gebruik van RC4. Hij pleitte ervoor om standaard sterkere opties zoals AES 128/256 in te stellen.

Microsoft reageerde met een blogpost in oktober, die volgens Wyden te technisch was en de boodschap niet duidelijk overbracht aan de besluitvormers binnen bedrijven.

Het is belangrijk op te merken dat Microsoft heeft beloofd de beveiliging in zijn producten te versterken. RC4 blijft echter een optie in Kerberos om oudere systemen die nieuwe, veiligere algoritmen niet accepteren te ondersteunen.

Wyden beschouwt het beleid van Microsoft als een ernstige bedreiging voor de nationale veiligheid en is ervan overtuigd dat meer incidenten van grote impact zullen plaatsvinden als de FTC niet ingrijpt.

“Zonder tijdig ingrijpen vormt Microsofts cultuur van nalatige cybersecurity, in combinatie met zijn feitelijke monopolie op de markt voor bedrijfsbesturingssystemen, een ernstige bedreiging voor de nationale veiligheid en maakt het verdere hacks onvermijdelijk” – Senator Ron Wyden

BleepingComputer heeft Microsoft om commentaar gevraagd. Een woordvoerder verklaarde:

"RC4 is een oude standaard, en we raden het gebruik ervan af, zowel in de ontwikkeling van onze software als in onze documentatie voor klanten – daarom maakt het minder dan 0,1% van ons verkeer uit. Het volledig uitschakelen zou echter veel systemen van klanten verstoren."

Het bedrijf werkt actief aan het geleidelijk verwijderen van het algoritme zonder klanten te storen en waarschuwt ervoor, terwijl het ook advies geeft voor veilig gebruik.

"We hebben het op onze roadmap staan om het gebruik uiteindelijk uit te schakelen. We hebben contact met het kantoor van de senator over dit onderwerp en blijven luisteren en vragen beantwoorden van hen of anderen in de overheid," aldus een woordvoerder van Microsoft.

De FTC heeft nog niet publiekelijk gereageerd op het verzoek van Wyden.

Gerelateerd Rapport

46% van de omgevingen had wachtwoorden die werden gekraakt, bijna een verdubbeling ten opzichte van 25% vorig jaar. Download het Picus Blue Report 2025 nu voor een uitgebreid overzicht van bevindingen over trends in preventie, detectie en data-exfiltratie.

[Download het Blue Report 2025]

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.