Negli Stati Uniti la sicurezza informatica delle infrastrutture critiche è di nuovo sotto i riflettori dopo che il senatore Ron Wyden ha richiesto un’indagine della Federal Trade Commission (FTC) su Microsoft, accusando l’azienda di gravi negligenze in materia di cybersecurity che avrebbero facilitato attacchi ransomware contro ospedali e sistemi sanitari. Questo intervento segue la recente violazione subita da Ascension, uno dei maggiori sistemi sanitari americani, che ha visto sottratti dati personali e sanitari di quasi 5,6 milioni di persone a causa di un attacco ransomware attribuito al gruppo Black Basta.

Compromissione della rete Ascension e ruolo di Microsoft

Secondo le informazioni fornite dall’ufficio del senatore, la compromissione della rete Ascension sarebbe iniziata quando un contractor ha cliccato su un link malevolo trovato tramite il motore di ricerca Bing di Microsoft. Questo ha permesso ai criminali di sfruttare le impostazioni di default insicure del software Microsoft per ottenere privilegi elevati all’interno della rete, in particolare sfruttando la tecnica Kerberoasting contro il protocollo di autenticazione Kerberos. Il punto debole? L’uso ancora consentito per impostazione predefinita dell’algoritmo di cifratura RC4, noto per le sue vulnerabilità fin dagli anni Ottanta.

Le critiche di Wyden e la risposta di Microsoft

Wyden ha sottolineato che Microsoft avrebbe dovuto avvisare i propri clienti già nel luglio 2024 sulla pericolosità di RC4 e sulle implicazioni per la sicurezza. Solo successivamente l’azienda ha pubblicato una guida per mitigare i rischi legati al Kerberoasting e annunciato l’intenzione di eliminare il supporto a RC4 nelle future versioni di Windows 11 e Windows Server 2025. Tuttavia, le impostazioni predefinite continuano a consentire l’uso di RC4, lasciando spazio agli attaccanti per indovinare le password dei conti privilegiati, soprattutto se non sono di lunghezza adeguata.

Microsoft ha risposto affermando che RC4 rappresenta meno dello 0,1% del traffico, ma che eliminarlo completamente comprometterebbe la compatibilità con molti sistemi esistenti. L’azienda si impegna quindi in una dismissione graduale, con ulteriori mitigazioni previste per le nuove installazioni a partire dal 2026. Intanto, il senatore Wyden e diversi esperti sottolineano come la sicurezza nazionale sia oggi legata alle scelte di design e alle configurazioni di default dei principali fornitori di software. Le organizzazioni pubbliche e private sono quindi chiamate a pretendere impostazioni più sicure di default e a prepararsi a modificare le proprie infrastrutture quando richiesto.