This post is also available in:
English (אנגלית)
קריאה חדשה של הסנאטור האמריקאי רון וויידן חידשה את הביקורת על מדיניות אבטחת הסייבר של מיקרוסופט, כאשר הוא פונה לנציבות הסחר הפדרלית (FTC) בבקשה לחקור את החברה בטענה לקיומן של חולשות אבטחה מערכתיות בעלות השלכות על הביטחון הלאומי.
במכתב מיום 10 בספטמבר, ששלח יו"ר FTC אנדרו פרגוסון, ציין וויידן את שליטתה ארוכת השנים של מיקרוסופט בתחום ה-IT הארגוני, וטען כי תצורות ברירת מחדל ופרוטוקולי אבטחה מיושנים בתוכנותיה תרמו לפרצות סייבר משמעותיות. הוא הצביע על מתקפת כופרה שהתרחשה ב-2024 נגד Ascension – רשת בתי חולים גדולה בארה"ב – כדוגמה בולטת במיוחד.
לפי וויידן, החדירה למערכת התאפשרה לאחר שקבלן לחץ על קישור זדוני דרך מנוע החיפוש Bing של מיקרוסופט. הפרצה הראשונית הזו אפשרה לתוקפים לגשת למערכת Microsoft Active Directory של Ascension, שמנהלת את אימות המשתמשים בארגון. כתוצאה מכך נחשפו נתונים רגישים הקשורים לבריאות וביטוח של כמעט 5.6 מיליון איש.
זו אינה הפעם הראשונה שבה וויידן מותח ביקורת על אופן הטיפול של מיקרוסופט באבטחת סייבר. בעבר הוא הדגיש את תפקידה של החברה בתקריות משמעותיות נוספות, כולל פרצת SolarWinds בשנת 2023, שיוחסה לסין.
הסנאטור טוען כי תמיכתה המתמשכת של מיקרוסופט בפרוטוקולי הצפנה ישנים, במיוחד RC4, איפשרה את מסלול התקיפה במקרה של Ascension. אף שקהילת האבטחה רואה ב-RC4 פרוטוקול לא בטוח ומיושן, הוא עדיין זמין לשימוש בחלק ממוצרי מיקרוסופט. וויידן טוען כי החברה לא עשתה די כדי להפסיק את השימוש בו או להנחות את המשתמשים לעבר חלופות בטוחות יותר.
לפי דיווח של רויטרס, מיקרוסופט הודתה בתגובה כי תעבורת ה-RC4 מהווה כיום פחות מ-0.1% מהשימוש הכולל, והיא ממליצה ללקוחות להימנע ממנו. החברה הסבירה כי ביטול מוחלט של התמיכה בפרוטוקול עלול לפגוע בפעולתם של סביבות לקוח רבות, אך אישרה כי בכוונתה להשבית את השימוש ב-RC4 כברירת מחדל במוצרים מסוימים של Windows החל מתחילת 2026. בנוסף, ייושמו אמצעי מיגון נוספים עבור מערכות קיימות, כך לדברי החברה.
