Senator Amerika Serikat Ron Wyden mengajukan surat resmi kepada Federal Trade Commission (FTC) untuk menyelidiki Microsoft, yang ia tuduh gagal menyediakan keamanan memadai pada produknya hingga berujung pada serangan ransomware terhadap organisasi kesehatan.
Tuduhan Kelalaian Microsoft
Wyden menyatakan Microsoft harus bertanggung jawab atas “gross cybersecurity negligence”, khususnya terkait serangan ransomware Ascension Health pada Mei 2024 yang mengekspos data 5,6 juta pasien.
Insiden tersebut bermula ketika seorang kontraktor mengklik hasil pencarian berbahaya di Microsoft Bing melalui Edge, yang kemudian memungkinkan penyerang melancarkan serangan Kerberoasting terhadap Microsoft Active Directory.
Masalah RC4 di Kerberos
Serangan Kerberoasting memanfaatkan kelemahan pada protokol Kerberos, khususnya penggunaan password lemah atau algoritma enkripsi lama seperti RC4. Password yang terenkripsi dengan RC4 dapat didekripsi menggunakan alat brute-force yang tersedia luas, memberi penyerang akses untuk eskalasi hak istimewa dan pergerakan lateral di jaringan korban.
Wyden menegaskan bahwa timnya telah mendesak Microsoft sejak Juli 2024 untuk memperingatkan pelanggan mengenai bahaya RC4 dan mengubah default ke AES 128/256. Namun, tanggapan Microsoft dalam bentuk blog teknis pada Oktober 2024 dianggap tidak cukup jelas untuk menjangkau pengambil keputusan di perusahaan.
Risiko Keamanan Nasional
Wyden menilai kelalaian Microsoft sebagai ancaman serius bagi keamanan nasional, terutama karena dominasi sistem operasi perusahaan di pasar enterprise:
“Tanpa tindakan segera, budaya kelalaian keamanan siber Microsoft, ditambah monopoli de facto di pasar OS enterprise, menimbulkan ancaman besar bagi keamanan nasional dan membuat serangan besar lainnya tak terelakkan.”
Tanggapan Microsoft
Dalam pernyataan kepada BleepingComputer, Microsoft mengatakan:
- RC4 hanya menyumbang kurang dari 0,1% traffic mereka.
- Perusahaan sudah menganjurkan untuk tidak menggunakan RC4 dan sedang merencanakan penghapusan penuh secara bertahap agar tidak mengganggu sistem lama.
- Microsoft menegaskan tetap berdialog dengan Senator Wyden dan pemerintah mengenai isu ini.
FTC hingga saat ini belum memberikan tanggapan resmi terhadap permintaan penyelidikan tersebut.
Sumber: FTC, Senator Ron Wyden, Microsoft