Microsoft ve Siber Güvenlik Sorunları: Senatör Wyden’ın Çağrısı
Son dönemde, Microsoft‘un siber güvenlik konusundaki uygulamaları yeniden eleştiri konusu oldu. ABD Senatörü Ron Wyden, Federal Ticaret Komisyonu’na (FTC) bir mektup yazarak, şirketin “aşırı siber güvenlik ihmali” nedeniyle sorumlu tutulması gerektiğini belirtti. Wyden, Microsoft’un büyük ölçüde monopolize ettiği işletim sistemi pazarının ve ihmalci siber güvenlik kültürünün, ABD’nin kritik altyapısını tehdit ettiğini ifade etti. Bu durumun sonucunda, sağlık hizmetleri ağı gibi önemli sektörler de hedef alındı.
Ransomware Saldırısının Detayları
Wyden’ın ofisinin edindiği bilgilere göre, sağlık sistemi Ascension geçen yıl büyük bir ransomware saldırısına maruz kaldı. Bu saldırı sonucunda, yaklaşık 5.6 milyon bireyin kişisel ve tıbbi bilgileri çalındı. Saldırı, Black Basta adlı bir ransomware grubuna atfediliyor. ABD Sağlık ve İnsani Hizmetler Bakanlığı, bu olayın son bir yıl içinde yaşanan en büyük sağlıkla ilgili veri ihlalli olaylarından biri olduğunu vurguladı.
Ascension’daki bu ihlal, bir taşeronun Microsoft’un Bing arama motorunda yaptığı bir arama sonucunda bir kötü amaçlı bağlantıya tıklamasıyla başladı. Bu durum, sistemlerinin kötü amaçlı yazılımlar ile enfekte olmasına yol açtı. Saldırganlar, Microsoft yazılımları üzerindeki tehlikeli derecede güvensiz varsayılan ayarları kullanarak Ascension’ın en hassas ağ alanlarına erişim sağladı.
Kerberoasting Tehditinin Ortaya Çıkışı
Saldırının bir diğer boyutu ise Kerberoasting tekniği oldu. Bu teknik, Kerberos kimlik doğrulama protokolünü hedef alarak, Active Directory üzerinden şifrelenmiş hizmet hesap bilgilerini çıkarmayı amaçlıyor. Wyden’ın ofisi, Microsoft’un 1980’lerden kalma RC4 adlı zayıf bir şifreleme teknolojisini varsayılan ayar olarak desteklediğini ileri sürdü. RC4, şifreleme anahtarına dönüşüm sırasında tuz veya yinelemeli karma kullanmaması nedeniyle özellikle saldırılara karşı hassastır.
RC4 ve Güvenlik İyileştirmeleri
RC4, 1987’de geliştirilen bir akış şifreleme algoritmasıdır. 1994’te bir forumda ifşa oldu ve 2015 itibarıyla, mühendislik görev gücü tarafından TLS‘te kullanılmasına yasak getirildi. Microsoft, Windows 11 ve Windows Server 2025 için RC4 desteğini azaltma planlarını açıkladı. Ancak, kullanıcılarının daha güvenli parolalar kullanmasının teşvik edilmesine rağmen, Wyden, Microsoft’un yazılımlarının, yetkili hesaplar için 14 karakterlik bir şifre uzunluğu zorunluluğunu uygulamadığını belirtti.
Alınması Gereken Önlemler
Microsoft, Kerberoasting’e karşı ortamları güçlendirmek için bazı önerilerde bulundu:
- Grup Yönetilen Hizmet Hesapları (gMSA) veya Delegeli Yönetilen Hizmet Hesapları (dMSA) kullanılması.
- Hizmet hesaplarının en az 14 karakter uzunluğunda rastgele oluşturulmuş uzun parolalarla korunması.
- Tüm hizmet hesaplarının AES (128 ve 256 bit) kullanacak şekilde yapılandırılması.
- Hizmet Prensip Adları (SPN) ile ilişkili kullanıcı hesaplarının denetlenmesi.
Ancak, bu önerilerin yeterli olmadığını savunan Wyden, Microsoft’un desteklediği zayıf RC4 şifreleme teknolojisinin, müşterilerini ransomware ve diğer siber tehditlere gereksiz yere maruz bıraktığını savundu.
Geçmişteki Eleştiriler ve Sonuçları
Microsoft, bu tip eleştirilerle ilk defa karşılaşmıyor. Geçtiğimiz yıl, ABD Siber Güvenlik İnceleme Kurulu, Çinli siber tehdit aktörlerinin Microsoft Exchange Online posta kutularına erişim sağlamasıyla ilgili olarak şirketi sert bir şekilde eleştirmişti. Wyden’ın ofisi, Microsoft’un zayıf siber güvenlik geçmişinin, geniş kapsamlı federal sözleşmeler üzerindeki etkisinin sınırlı kalmasını vurguladı.
Senatör Wyden, bu mektubuyla, Microsoft’un sunduğu hizmetlerin siber güvenlik yönünden özellikle dikkat edilmesi gereken bir alan olduğunu gösterdi. Aynı zamanda, kuruluşların ve kamu sektörü ajanslarının daha güvenli tasarım varsayılanları talep etmesi ve bunlara uyum göstermesi gerektiğinin altını çizdi. Ulusal güvenlik, artık belirli bir yazılım platformunun güvenlik tasarım kararlarıyla yakından ilişkili hale geldi.
