Thượng nghị sĩ Ron Wyden đã chính thức yêu cầu Ủy ban Thương mại Liên bang (FTC) điều tra tập đoàn Microsoft về những sơ suất an ninh mạng. Những sơ suất này được cho là đã tạo điều kiện cho các cuộc **tấn công Kerberoasting** và các cuộc tấn công **mã độc ransomware** nhắm vào các tổ chức cơ sở hạ tầng quan trọng trên toàn quốc. Yêu cầu này làm dấy lên mối lo ngại sâu sắc về các **lỗ hổng bảo mật** trong sản phẩm của Microsoft.

Yêu Cầu Điều Tra của Thượng Nghị Sĩ Ron Wyden

Trong một lá thư gửi Chủ tịch FTC Andrew Ferguson vào ngày 10 tháng 9, Thượng nghị sĩ Wyden đã trình bày chi tiết cách các quyết định kỹ thuật phần mềm “nguy hiểm” của Microsoft đã khiến các hệ thống Windows trở nên **cực kỳ dễ bị tổn thương** trước các cuộc tấn công mạng tinh vi. Lá thư nhấn mạnh tầm quan trọng của việc giải quyết các **lỗ hổng bảo mật** tiềm tàng.

Vụ Tấn Công Ascension và Kỹ Thuật **Kerberoasting**

Bối Cảnh Vụ Tấn Công

Cuộc điều tra của Thượng nghị sĩ tập trung vào vụ **tấn công mã độc ransomware** xảy ra vào năm 2024 nhắm vào Ascension, một trong những hệ thống chăm sóc sức khỏe phi lợi nhuận lớn nhất Hoa Kỳ. Vụ việc này là ví dụ điển hình về **rủi ro bảo mật** mà các tổ chức đang phải đối mặt.

Theo những phát hiện của Thượng nghị sĩ Wyden tại đây: Thư của Wyden gửi FTC về Microsoft Kerberoasting Ransomware, cuộc tấn công bắt đầu khi một nhà thầu của Ascension nhấp vào một liên kết độc hại. Sự cố xảy ra khi nhà thầu này đang sử dụng công cụ tìm kiếm Bing của Microsoft thông qua trình duyệt Edge.

Hành động đơn lẻ này cuối cùng đã làm tổn hại hàng nghìn máy tính trên toàn mạng lưới chăm sóc sức khỏe. Nó cũng làm lộ dữ liệu nhạy cảm của **5,6 triệu bệnh nhân**, gây ra một vụ **rò rỉ dữ liệu** nghiêm trọng.

Chi Tiết Kỹ Thuật Kerberoasting

Những kẻ tấn công đã sử dụng thành công kỹ thuật **tấn công Kerberoasting** để leo thang đặc quyền bên trong máy chủ **Microsoft Active Directory** của Ascension. Kỹ thuật này khai thác một **lỗ hổng bảo mật** nghiêm trọng.

Phương pháp **tấn công Kerberoasting** này đặc biệt nhắm vào việc Microsoft tiếp tục hỗ trợ mặc định công nghệ mã hóa **RC4**. Công nghệ này có từ những năm **1980** và đã được các cơ quan liên bang cùng các chuyên gia an ninh mạng công nhận rộng rãi là không an toàn trong hơn một thập kỷ qua.

Mặc dù phần mềm của Microsoft hỗ trợ Chuẩn mã hóa tiên tiến (AES) đã được chính phủ Hoa Kỳ phê duyệt, công nghệ mã hóa vượt trội này vẫn ở dạng tùy chọn. Nó không được yêu cầu mặc định, tạo ra **lỗ hổng bảo mật** tiềm tàng.

Lỗ hổng này cho phép những kẻ tấn công, sau khi giành được quyền truy cập vào bất kỳ máy tính nào trên mạng công ty, bẻ khóa mật khẩu của các tài khoản quản trị viên đặc quyền. Điều này có thể dẫn đến các lây nhiễm **mã độc ransomware** trên toàn tổ chức và **chiếm quyền điều khiển** hệ thống.

Cảnh Báo Từ Các Cơ Quan An Ninh Mạng về **Tấn Công Kerberoasting**

Nhiều cơ quan an ninh mạng Hoa Kỳ đã đưa ra các cảnh báo về các cuộc **tấn công Kerberoasting**. Điều này chứng tỏ mức độ nghiêm trọng của mối đe dọa này.

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã công bố hướng dẫn cho các tổ chức chăm sóc sức khỏe vào tháng 12 năm 2023. Trong khi đó, CISA, FBI và NSA đã đưa ra cảnh báo chung về các mối đe dọa mạng từ Iran, đặc biệt đề cập đến **tấn công Kerberoasting** vào tháng 10 năm 2024.

Ngoài ra, một hướng dẫn phòng thủ toàn diện dài **68 trang** do CISA và NSA đồng ban hành vào tháng 9 năm 2024 đã liệt kê **tấn công Kerberoasting** là mối đe dọa chính đối với các hệ thống **Microsoft Active Directory**. Điều này càng khẳng định tính chất nguy hiểm của kỹ thuật này.

Phản Ứng và Thiếu Sót Từ Microsoft

Văn phòng của Thượng nghị sĩ Wyden đã liên hệ với các quan chức cấp cao của Microsoft vào tháng 7 năm 2024. Ông đã thúc giục công ty cảnh báo khách hàng về các **lỗ hổng Kerberoasting** và thực hiện biện pháp khắc phục.

Microsoft đã công bố một bài đăng blog kỹ thuật vào tháng 10 năm 2024 và hứa hẹn một bản cập nhật bảo mật để vô hiệu hóa mã hóa RC4. Tuy nhiên, công ty đã không cung cấp bản cập nhật đã hứa sau **mười một tháng**, cho thấy sự chậm trễ đáng kể.

Thượng nghị sĩ đã chỉ trích nỗ lực tối thiểu của Microsoft trong việc công bố hướng dẫn. Ông lưu ý rằng bài đăng blog kỹ thuật đã bị “chôn vùi” trên một phần trang web không rõ ràng vào chiều thứ Sáu, mà không có bất kỳ chiến dịch quảng bá ý nghĩa nào.