Senatör Ron Wyden’dan Microsoft’a Güvenlik Eleştirisi
Amerika Birleşik Devletleri Senatörü Ron Wyden, Federal Ticaret Komisyonu (FTC) aracılığıyla Microsoft’un güvenlik açıkları için araştırma talep etti. Ünlü teknoloji şirketinin ürünlerinde yetersiz güvenlik sağladığı belirtilirken, bu durumun sağlık kuruluşlarına yönelik fidye yazılımı saldırılarına yol açtığına dikkat çekildi.
Güvenlik Açıkları ve Sonuçları
Senatör, Microsoft’un “aşırı siber güvenlik ihmalinden” sorumlu tutulması gerektiğini belirtti. Bu ihmal, kritik altyapı üzerinde, özellikle de ABD sağlık kuruluşları üzerinde ciddi saldırılara sebep oldu. Wyden, Microsoft’un ürünlerinde iyi belgelenmiş güvenlik risklerini etkili bir şekilde azaltmada gösterdiği uzun süredir devam eden yetersizliği vurguladı. Özellikle 2024 Ascension Health fidye yazılımı saldırısı örneğini öne çıkararak, 5.6 milyon hastanın verilerinin tehlikeye girdiğini belirtti.
Mayıs 2024’te gerçekleşen bu olay, bir çalışanın kötü niyetli bir Bing arama sonucu üzerinde tıklaması sonrasında meydana geldi. Bu durum, bilgisayar korsanlarının “Kerberoasting” saldırısını gerçekleştirmesine olanak tanıdı.
Kerberos ve Kerberoasting Nedir?
Kerberos, ağ kaynaklarına erişimi sağlamak için kullanıcıların ve hizmetlerin kimliklerini parola alışverişi yapmadan doğrulamaya yarayan bir ağ kimlik doğrulama protokolüdür. Kerberoasting ise, saldırganların Microsoft Active Directory’den şifrelenmiş hizmet hesabı kimlik bilgilerini çalma tekniğidir.
Bu teknik, genellikle zayıf veya tahmin edilmesi kolay parolalardan faydalanır. Bu parolalar, eski ve güvensiz olan RC4 algoritması ile şifrelenmiş olabilir. Saldırgan bu parolayı çözerek, yetkilerini yükseltebilir ve hedef ağda yan yana hareket edebilir.
Microsoft ile Görüşmeler ve Cevaplar
Senatör Wyden, Temmuz 2024’te Microsoft ile iletişime geçerek firmayı RC4 kullanımının tehlikeleri konusunda müşterilerini uyarmaya çağırdığını dile getirdi. Ayrıca, daha güvenli seçenekler olan AES 128/256 gibi algoritmaların varsayılan ayar haline getirilmesi gerektiğini belirtti. Ancak, Microsoft’un bu konuya verdiği yanıt, Ekim ayında yayınladığı bir blog yazısı ile gerçekleşti. Bu yazı, teknik detaylarla dolu olup, karar vericilerin dikkatini yeterince çekemedi.
RC4 Algoritması ve Güvenlik Riski
RC4, Kerberos’ta hâlâ bir seçenek olmasına rağmen, zayıf bir şifreleme algoritmasıdır ve metin düzeyindeki bilgilerin geri kazanımına olanak tanıyan zafiyetleri vardır. Microsoft, ürünlerindeki güvenliği artırma sözü vermesine rağmen, RC4’ün eski sistemlerin desteklenmesi için hala var olduğunu belirtiyor.
Senatör, Microsoft’un uygulamalarını ciddi bir ulusal güvenlik riski olarak nitelendirerek, FTC’nin müdahale etmemesi durumunda daha fazla yüksek etki yaratan olayların yaşanacağından emin olduğunu vurguladı. “Zamansetinde harekete geçilmezse, Microsoft’un dikkatsiz siber güvenlik kültürü, işletim sistemi pazarında de facto tekel olmasıyla birleştiğinde, ciddi bir ulusal güvenlik tehdidi oluşturuyor” diye ekledi.
Microsoft’un Yanıtı ve Gelecek Planları
BleepingComputer, Microsoft’tan bu gelişmeye ilişkin bir açıklama talep etti. Bir sözcü, “RC4 eski bir standarttır ve hem yazılım mühendisliğimizde hem de müşterilere yönelik belgelerimizde kullanımını teşvik etmiyoruz, bu nedenle trafikimizin %0.1’inden daha azını oluşturuyor” ifadelerini kullandı. Bununla birlikte, RC4’ün tamamen devre dışı bırakılmasının birçok müşteri sistemini bozacağı konusunda uyarıda bulundu.
Şirket, müşterilerine kesinti oluşturmadan algoritmayı kademeli olarak kaldırmaya çalıştığını ve kullanıcılarına “en güvenli şekilde” algoritmayı kullanmaları için tavsiyelerde bulunduğunu belirtti. Microsoft sözcüsü, “RC4’ün kullanımını nihayetinde devre dışı bırakmak için bir yol haritası hazırladık. Senatörün ofisiyle bu konuda iletişim halindeyiz ve onlara ya da hükümetteki diğer kişilere soru sormaya devam edeceğiz” dedi.
FTC’nin Yanıtı ve Gelecekteki Adımlar
Şu an için FTC, Senatör Wyden’in talebine kamuya açık bir yanıt vermedi. Ancak, bu durumun siber güvenliğe olan etkileri ve teknoloji devlerinin sorumlulukları üzerine tartışmaların artacağı aşikar. Microsoft’un güvenlik önlemleri ve uygulamaları konusunda daha aktif ve şeffaf bir tutum benimsemesi kritik önem taşıyor. Özellikle sağlık gibi kritik sektörlerde siber güvenlik, yalnızca bireylerin değil, ulusun güvenliğini de doğrudan etkiliyor.
