Microsoft sotto accusa da Ron Wyden per negligenza nella sicurezza informatica

Redazione RHC : 16 Settembre 2025 06:57

Il senatore statunitense Ron Wyden ha inviato una lettera il 10 settembre scorso alla Federal Trade Commission (FTC) chiedendo un’indagine su Microsoft, accusando l’azienda di “grave negligenza” nel campo della sicurezza informatica.

Il motivo era l’utilizzo di un algoritmo di crittografia RC4 obsoleto e non sicuro in Windows, che è ancora l’algoritmo predefinito per Active Directory. Secondo l’indagine dell’ufficio del senatore, è stata questa funzionalità a svolgere un ruolo chiave in un attacco su larga scala alla società medica Ascension nel 2024, che ha portato alla compromissione dei dati di 5,6 milioni di pazienti.

Wyden ha sottolineato che, grazie a una “ingegneria pericolosa”, un aggressore potrebbe utilizzare un solo laptop infetto di un dipendente per distribuire il ransomware a migliaia di sistemi tramite Active Directory.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber "Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime.  Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.  Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.  Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta RHC attraverso: L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nel caso di Ascension, il punto di ingresso iniziale è stato il dispositivo di un dipendente, utilizzato per eseguire una ricerca su Bing tramite Microsoft Edge. Una volta effettuato l’accesso, gli hacker hanno utilizzato il kerberoasting per forzare le password degli account privilegiati e quindi diffondere il ransomware in tutta la rete.

RC4, creato nel 1987 da Ron Rivest, è da tempo riconosciuto come vulnerabile: l’algoritmo è stato violato nel 1994 e da allora è stato attaccato con successo numerose volte. È stato rimosso dall’uso nella maggior parte dei protocolli di comunicazione, ma rimane il meccanismo di base dell’autenticazione Kerberos in Active Directory. Nonostante la disponibilità di algoritmi più moderni, molte organizzazioni continuano a utilizzare le impostazioni predefinite. Questa configurazione consente agli aggressori di richiedere ticket crittografati con password dal server Kerberos, che possono essere trasferiti all’esterno della rete e decrittografati utilizzando potenti GPU. A causa della mancanza di salt e iterazioni nell’hash MD4 utilizzato, un aggressore può provare miliardi di opzioni al secondo.

Matt Green, crittografo della Johns Hopkins University, ha definito l’architettura Kerberos con RC4 “un bug che avrebbe dovuto essere risolto decenni fa”. Ha osservato che anche le password lunghe formalmente conformi alle raccomandazioni non sono al sicuro dagli attacchi brute-force quando si utilizza questo schema. Un ulteriore fattore di rischio è la diffusa configurazione errata di Active Directory, quando gli utenti normali accedono a funzioni riservate agli amministratori. Questo rende il kerberoasting un metodo di attacco ancora più accessibile.

In risposta, Microsoft ha dichiarato che l’utilizzo di RC4 rappresenta meno dello 0,1% del traffico e che l’azienda sconsiglia vivamente l’uso di questo algoritmo. Allo stesso tempo, l’azienda ha riconosciuto che una chiusura completa comporterebbe l’inoperabilità di diversi client, pertanto l’abbandono di RC4 è pianificato gradualmente. Secondo Microsoft, nel primo trimestre del 2026, le nuove installazioni di domini Active Directory basati su Windows Server 2025 funzioneranno automaticamente senza il supporto di RC4. Sono in fase di preparazione ulteriori misure per i sistemi esistenti che dovrebbero ridurre al minimo i rischi mantenendo al contempo la compatibilità.

Wyden, tuttavia, ritiene che l’azienda stia deliberatamente nascondendo il pericolo, limitandosi a post di basso profilo sui blog tecnologici anziché avvisare direttamente i clienti aziendali. Ha anche criticato il modello di business di Microsoft, in cui il software principale rimane vulnerabile mentre i servizi di sicurezza informatica aggiuntivi vengono venduti separatamente. Ha affermato che assomiglia a “un piromane che vende servizi antincendio alle sue vittime”. Gli esperti raccomandano alle organizzazioni di seguire le best practice di sicurezza per gli account Active Directory .

Microsoft, a sua volta, afferma di essere in dialogo con il senatore e di essere pronta a collaborare con le agenzie governative, sottolineando che la tabella di marcia per l’abbandono di RC4 è già stata approvata.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli