Thượng nghị sĩ Ron Wyden (Đảng Dân chủ - Oregon) hôm qua (10/9) đã kêu gọi Ủy ban Thương mại Liên bang (FTC) điều tra Microsoft, cho rằng các cấu hình mặc định của hãng khiến khách hàng dễ bị tổn thương và góp phần vào các mối đe dọa như ransomware, tin tặc và tấn công mạng.
 |
| Ảnh minh họa |
Điều này bao gồm vụ tấn công ransomware vào hệ thống bệnh viện Ascension năm 2024, dẫn đến việc đánh cắp dữ liệu cá nhân, hồ sơ y tế, thông tin thanh toán, thông tin bảo hiểm và giấy tờ tùy thân của hơn 5,6 triệu bệnh nhân.
Thượng nghị sĩ Wyden, người đã cho nhân viên phỏng vấn hoặc trao đổi với cả Ascension và Microsoft trong quá trình giám sát vụ việc, cho hay vụ tấn công nói trên là “minh họa hoàn hảo” về hậu quả tiêu cực gây ra từ chính sách an ninh mạng của Microsoft.
Ascension cho biết với nhóm của Wyden rằng vào tháng 2/2024, một nhà thầu đã sử dụng máy tính xách tay của công ty, với công cụ tìm kiếm Bing và trình duyệt Edge mặc định.
Người này đã bấm vào một liên kết lừa đảo, khiến máy tính nhiễm mã độc và lan sang toàn bộ mạng lưới của Ascension. Tin tặc đã chiếm quyền quản trị thông qua Active Directory - sản phẩm của Microsoft quản lý tài khoản người dùng - và từ đó phát tán ransomware “tới hàng nghìn máy tính khác trong tổ chức".
Thượng nghị sĩ Wyden lưu ý trong thư gửi Chủ tịch FTC Andrew Ferguson rằng tin tặc đã dùng kỹ thuật Kerberoasting để truy cập các tài khoản đặc quyền trong máy chủ Active Directory của Ascension. Phương thức này khai thác các lỗ hổng trong giao thức mã hóa đã lỗi thời và tồn tại điểm yếu từ vài thập kỷ nay.
“Phương thức hack này tận dụng việc Microsoft tiếp tục hỗ trợ mặc định một công nghệ mã hóa kém an toàn từ thập niên 1980 có tên RC4. Trong hơn một thập kỷ, các cơ quan liên bang và chuyên gia an ninh mạng - bao gồm cả chuyên gia của chính Microsoft - đã cảnh báo công nghệ này rất nguy hiểm,” ông Wyden đã viết như vậy.
Dù vậy, các tổ chức phụ thuộc vào RC4 vẫn tiếp tục bị xâm nhập qua Kerberoasting. Năm 2023, Cơ quan An ninh mạng và Hạ tầng (CISA) đã cảnh báo về việc khai thác RC4 và Kerberoasting trong ngành y tế. Một năm sau, CISA, FBI và Cơ quan An ninh Quốc gia (NSA) tiếp tục cảnh báo rằng các quốc gia như Iran cũng đang khai thác kỹ thuật này để tấn công doanh nghiệp Mỹ.
Thượng nghị sĩ Wyden đặt câu hỏi tại sao Microsoft vẫn duy trì RC4, cho rằng điều này “vô tình phơi bày khách hàng trước ransomware và các mối đe dọa mạng khác,” đồng thời chỉ ra rằng các công nghệ mã hóa tốt hơn như AES (Advanced Encryption Standard) – vốn được chính phủ liên bang phê chuẩn - có thể bảo vệ khách hàng tốt hơn.
Microsoft cho rằng có thể giảm thiểu rủi ro bằng cách đặt mật khẩu dài ít nhất 14 ký tự cho tài khoản đặc quyền, nhưng các thiết lập mặc định của hãng không yêu cầu điều này.
Đáp lại thư của ông Wyden, một người phát ngôn Microsoft nói với CyberScoop rằng: “RC4 là một tiêu chuẩn cũ và chúng tôi không khuyến khích sử dụng, cả trong cách thiết kế phần mềm lẫn trong tài liệu hướng dẫn cho khách hàng – đó là lý do RC4 chỉ chiếm chưa tới 0,1% lưu lượng của chúng tôi.”
“Tuy nhiên, nếu loại bỏ hoàn toàn RC4sẽ làm hỏng nhiều hệ thống của khách hàng. Vì vậy, chúng tôi đang theo lộ trình giảm dần mức độ sử dụng, đồng thời đưa ra cảnh báo mạnh mẽ và hướng dẫn để dùng theo cách an toàn nhất có thể,” phát ngôn viên Microsoft cho hay.
Thượng nghị sĩ Wyden cho biết trong các cuộc trao đổi năm 2024, Microsoft từng đồng ý ngừng hỗ trợ RC4, nhưng đến gần một năm sau vẫn chưa thực hiện.
Văn phòng báo chí của Microsoft nói với CyberScoop rằng hãng có kế hoạch tắt RC4 mặc định trong các cài đặt Active Directory bắt đầu từ quý 1 năm 2026. Họ cũng nói việc loại bỏ RC4 trên diện rộng hơn nằm trong “lộ trình,” nhưng chưa đưa ra thời hạn cụ thể.
Trong thư, Thượng nghị sĩ Wyden nhấn mạnh ông tin rằng Microsoft - chứ không phải công chúng - phải chịu trách nhiệm bảo đảm an ninh.
“Microsoft là bên lựa chọn thiết lập mặc định, bao gồm các tính năng bảo mật được kích hoạt tự động và các yêu cầu cấu hình bảo mật (ví dụ: độ dài mật khẩu tối thiểu),” ông Wyden cho biết thêm. Ông này nhấn mạnh rằng dù các tổ chức có thể thay đổi, “trên thực tế hầu hết đều không làm vậy".
Nguyễn Yến (theo Cyberscoop)
Bình luận