Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 16 Settembre 2025 06:57
Il senatore statunitense Ron Wyden ha inviato una lettera il 10 settembre scorso alla Federal Trade Commission (FTC) chiedendo un’indagine su Microsoft, accusando l’azienda di “grave negligenza” nel campo della sicurezza informatica.
Il motivo era l’utilizzo di un algoritmo di crittografia RC4 obsoleto e non sicuro in Windows, che è ancora l’algoritmo predefinito per Active Directory. Secondo l’indagine dell’ufficio del senatore, è stata questa funzionalità a svolgere un ruolo chiave in un attacco su larga scala alla società medica Ascension nel 2024, che ha portato alla compromissione dei dati di 5,6 milioni di pazienti.
Wyden ha sottolineato che, grazie a una “ingegneria pericolosa”, un aggressore potrebbe utilizzare un solo laptop infetto di un dipendente per distribuire il ransomware a migliaia di sistemi tramite Active Directory.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Nel caso di Ascension, il punto di ingresso iniziale è stato il dispositivo di un dipendente, utilizzato per eseguire una ricerca su Bing tramite Microsoft Edge. Una volta effettuato l’accesso, gli hacker hanno utilizzato il kerberoasting per forzare le password degli account privilegiati e quindi diffondere il ransomware in tutta la rete.
RC4, creato nel 1987 da Ron Rivest, è da tempo riconosciuto come vulnerabile: l’algoritmo è stato violato nel 1994 e da allora è stato attaccato con successo numerose volte. È stato rimosso dall’uso nella maggior parte dei protocolli di comunicazione, ma rimane il meccanismo di base dell’autenticazione Kerberos in Active Directory. Nonostante la disponibilità di algoritmi più moderni, molte organizzazioni continuano a utilizzare le impostazioni predefinite. Questa configurazione consente agli aggressori di richiedere ticket crittografati con password dal server Kerberos, che possono essere trasferiti all’esterno della rete e decrittografati utilizzando potenti GPU. A causa della mancanza di salt e iterazioni nell’hash MD4 utilizzato, un aggressore può provare miliardi di opzioni al secondo.
Matt Green, crittografo della Johns Hopkins University, ha definito l’architettura Kerberos con RC4 “un bug che avrebbe dovuto essere risolto decenni fa”. Ha osservato che anche le password lunghe formalmente conformi alle raccomandazioni non sono al sicuro dagli attacchi brute-force quando si utilizza questo schema. Un ulteriore fattore di rischio è la diffusa configurazione errata di Active Directory, quando gli utenti normali accedono a funzioni riservate agli amministratori. Questo rende il kerberoasting un metodo di attacco ancora più accessibile.
In risposta, Microsoft ha dichiarato che l’utilizzo di RC4 rappresenta meno dello 0,1% del traffico e che l’azienda sconsiglia vivamente l’uso di questo algoritmo. Allo stesso tempo, l’azienda ha riconosciuto che una chiusura completa comporterebbe l’inoperabilità di diversi client, pertanto l’abbandono di RC4 è pianificato gradualmente. Secondo Microsoft, nel primo trimestre del 2026, le nuove installazioni di domini Active Directory basati su Windows Server 2025 funzioneranno automaticamente senza il supporto di RC4. Sono in fase di preparazione ulteriori misure per i sistemi esistenti che dovrebbero ridurre al minimo i rischi mantenendo al contempo la compatibilità.
Wyden, tuttavia, ritiene che l’azienda stia deliberatamente nascondendo il pericolo, limitandosi a post di basso profilo sui blog tecnologici anziché avvisare direttamente i clienti aziendali. Ha anche criticato il modello di business di Microsoft, in cui il software principale rimane vulnerabile mentre i servizi di sicurezza informatica aggiuntivi vengono venduti separatamente. Ha affermato che assomiglia a “un piromane che vende servizi antincendio alle sue vittime”. Gli esperti raccomandano alle organizzazioni di seguire le best practice di sicurezza per gli account Active Directory .
Microsoft, a sua volta, afferma di essere in dialogo con il senatore e di essere pronta a collaborare con le agenzie governative, sottolineando che la tabella di marcia per l’abbandono di RC4 è già stata approvata.
RedazioneAll’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
La saga sulla sicurezza dei componenti di React Server continua questa settimana. Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha ...
Un nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
