Microsoft accusé de « négligence grave en matière de cybersécurité » qui rend Windows vulnérable à des attaques comme le Kerberoasting,

Qui exploite les faiblesses de l'algorithme de chiffrement obsolète RC4

Le sénateur Ron Wyden appelle la Federal Trade Commission (FTC) à enquêter sur « les pratiques de sécurité laxistes de Microsoft ». Il estime que les configurations par défaut de Windows rendent les clients vulnérables et contribuent aux ransomwares, au piratage et à d'autres menaces. Il dénonce l'utilisation par Microsoft du chiffrement obsolète RC4. Les faiblesses de cet algorithme rendent le système d'exploitation sensible à des attaques comme le Kerberoasting, qui cible le protocole Kerberos utilisé pour l’authentification. C'est la deuxième fois en deux ans qu'il utilise le mot « négligence » pour décrire les pratiques de Microsoft en matière de sécurité.

Dans une lettre adressée à la FTC, le sénateur Ron Wyden a présenté les conclusions de son enquête sur la violation de données subie l'année dernière par le géant de la santé Ascension. Selon les rapports sur l'incident, il s'agit d'une attaque par ransomware qui a entraîné le vol de données personnelles, de données médicales, d'informations de paiement, d'informations d'assurance et de pièces d'identité gouvernementales de plus de 5,6 millions de patients.

Ron Wyden, dont les collaborateurs ont interrogé ou discuté avec le personnel d'Ascension et de Microsoft dans le cadre de la surveillance exercée par le sénateur, a déclaré que cette attaque « illustre parfaitement » les conséquences négatives des politiques de cybersécurité de Microsoft.

Ascension a déclaré au personnel de Ron Wyden qu'en février 2024, un sous-traitant utilisant l'un des ordinateurs portables de l'entreprise avait utilisé le moteur de recherche Microsoft Bing et le navigateur Microsoft Edge. Le sous-traitant a cliqué sur un lien de phishing, qui a infecté l'ordinateur portable et s'est propagé à l'ensemble du réseau d'Ascension. Les pirates ont obtenu des privilèges administratifs sur les comptes de l'entreprise via Active Directory.


Les pirates ont ensuite propagé le ransomware « à des milliers d'autres ordinateurs de l'organisation ». Dans sa lettre adressée au président de la FTC, Andrew Ferguson, Ron Wyden a indiqué que les pirates avaient utilisé une technique appelée « Kerberoasting » pour accéder à des comptes privilégiés sur le serveur Active Directory d'Ascension. Cette méthode exploite les faiblesses des protocoles de chiffrement obsolètes et vulnérables depuis des décennies.

Active Directory est un autre produit Microsoft qui gère les comptes utilisateurs. L'objectif principal de Microsoft Active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows, macOS ou encore Linux.

Qu’est-ce que le Kerberoasting ?

Le Kerberoasting est une technique d’attaque sophistiquée post-exploitation qui cible les comptes de service au sein des environnements Active Directory en exploitant les vulnérabilités du protocole d’authentification Kerberos. Cette attaque basée sur l’identité permet aux acteurs malveillants d’obtenir les hachages de mots de passe des comptes Active Directory associés aux noms principaux de service (SPNs), qui peuvent ensuite être craqués hors ligne pour révéler les identifiants en texte clair.

Les attaques Kerberoasting sont particulièrement préoccupantes, car tout utilisateur authentifié du domaine peut demander des tickets de service Kerberos pour n’importe quel service sur le réseau, indépendamment de son autorisation à accéder à ce service. Ce qui les rend particulièrement dangereuses, c’est leur nature furtive et leur efficacité. L’attaque se déroule entièrement dans les workflows d’authentification légitimes, ce qui la rend difficile à détecter par les mesures de sécurité traditionnelles.

Une fois qu’un attaquant obtient un ticket de service, il peut travailler hors ligne pour craquer le hachage du mot de passe en utilisant des attaques par force brute, évitant ainsi les alertes de détection, les journaux ou les verrouillages de compte. Cette capacité hors ligne, combinée à l’absence de maliciels dans la chaîne d’attaque, rend de nombreuses technologies de défense traditionnelles inefficaces pour identifier et stopper ces attaques.

Microsoft exploite des algorithmes de chiffrement obsolètes

Dans sa lettre, Ron Wyden accuse Microsoft de « négligence grave en matière de cybersécurité ». « Cette technique de piratage exploite le soutien continu apporté par défaut par Microsoft à une technologie de chiffrement non sécurisée datant des années 1980, appelée RC4, dont les agences fédérales et les experts en cybersécurité, y compris ceux travaillant pour Microsoft, avertissent depuis plus d'une décennie qu'elle est dangereuse », a écrit le sénateur.

Pourtant, les organisations qui utilisent RC4 continuent d'être compromises par le Kerberoasting. En 2023, l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a mis en garde contre l'exploitation de RC4 et du Kerberoasting dans le secteur de la santé. Un an plus tard, la CISA, le FBI et la NSA ont averti que des pays étrangers comme l'Iran exploitent également cette même technique pour cibler des entreprises américaines.

Ron Wyden s'est interrogé sur les raisons pour lesquelles...