Microsoft sotto accusa da Ron Wyden per negligenza nella sicurezza informatica

Redazione RHC : 16 Settembre 2025 06:57

Il senatore statunitense Ron Wyden ha inviato una lettera il 10 settembre scorso alla Federal Trade Commission (FTC) chiedendo un’indagine su Microsoft, accusando l’azienda di “grave negligenza” nel campo della sicurezza informatica.

Il motivo era l’utilizzo di un algoritmo di crittografia RC4 obsoleto e non sicuro in Windows, che è ancora l’algoritmo predefinito per Active Directory. Secondo l’indagine dell’ufficio del senatore, è stata questa funzionalità a svolgere un ruolo chiave in un attacco su larga scala alla società medica Ascension nel 2024, che ha portato alla compromissione dei dati di 5,6 milioni di pazienti.

Wyden ha sottolineato che, grazie a una “ingegneria pericolosa”, un aggressore potrebbe utilizzare un solo laptop infetto di un dipendente per distribuire il ransomware a migliaia di sistemi tramite Active Directory.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nel caso di Ascension, il punto di ingresso iniziale è stato il dispositivo di un dipendente, utilizzato per eseguire una ricerca su Bing tramite Microsoft Edge. Una volta effettuato l’accesso, gli hacker hanno utilizzato il kerberoasting per forzare le password degli account privilegiati e quindi diffondere il ransomware in tutta la rete.

RC4, creato nel 1987 da Ron Rivest, è da tempo riconosciuto come vulnerabile: l’algoritmo è stato violato nel 1994 e da allora è stato attaccato con successo numerose volte. È stato rimosso dall’uso nella maggior parte dei protocolli di comunicazione, ma rimane il meccanismo di base dell’autenticazione Kerberos in Active Directory. Nonostante la disponibilità di algoritmi più moderni, molte organizzazioni continuano a utilizzare le impostazioni predefinite. Questa configurazione consente agli aggressori di richiedere ticket crittografati con password dal server Kerberos, che possono essere trasferiti all’esterno della rete e decrittografati utilizzando potenti GPU. A causa della mancanza di salt e iterazioni nell’hash MD4 utilizzato, un aggressore può provare miliardi di opzioni al secondo.

Matt Green, crittografo della Johns Hopkins University, ha definito l’architettura Kerberos con RC4 “un bug che avrebbe dovuto essere risolto decenni fa”. Ha osservato che anche le password lunghe formalmente conformi alle raccomandazioni non sono al sicuro dagli attacchi brute-force quando si utilizza questo schema. Un ulteriore fattore di rischio è la diffusa configurazione errata di Active Directory, quando gli utenti normali accedono a funzioni riservate agli amministratori. Questo rende il kerberoasting un metodo di attacco ancora più accessibile.

In risposta, Microsoft ha dichiarato che l’utilizzo di RC4 rappresenta meno dello 0,1% del traffico e che l’azienda sconsiglia vivamente l’uso di questo algoritmo. Allo stesso tempo, l’azienda ha riconosciuto che una chiusura completa comporterebbe l’inoperabilità di diversi client, pertanto l’abbandono di RC4 è pianificato gradualmente. Secondo Microsoft, nel primo trimestre del 2026, le nuove installazioni di domini Active Directory basati su Windows Server 2025 funzioneranno automaticamente senza il supporto di RC4. Sono in fase di preparazione ulteriori misure per i sistemi esistenti che dovrebbero ridurre al minimo i rischi mantenendo al contempo la compatibilità.

Wyden, tuttavia, ritiene che l’azienda stia deliberatamente nascondendo il pericolo, limitandosi a post di basso profilo sui blog tecnologici anziché avvisare direttamente i clienti aziendali. Ha anche criticato il modello di business di Microsoft, in cui il software principale rimane vulnerabile mentre i servizi di sicurezza informatica aggiuntivi vengono venduti separatamente. Ha affermato che assomiglia a “un piromane che vende servizi antincendio alle sue vittime”. Gli esperti raccomandano alle organizzazioni di seguire le best practice di sicurezza per gli account Active Directory .

Microsoft, a sua volta, afferma di essere in dialogo con il senatore e di essere pronta a collaborare con le agenzie governative, sottolineando che la tabella di marcia per l’abbandono di RC4 è già stata approvata.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli