A Microsoft pode ser investigada por “negligência em segurança cibernética” nos Estados Unidos, afirma o ArsTechnica. O pedido foi feito pelo senador democrata Ron Wyder, que cita, no pedido, o uso contínuo pela empresa de uma forma “obsoleta e vulnerável” de criptografia que vem instalada no Windows por padrão.
Segundo ele, seu gabinete conduziu uma investigação sobre uma possível violação de segurança na empresa de saúde Ascension que pode ter sido causada pelas configurações padrão do Windows, permitindo o ataque em 2024. Na invasão, foram roubados dados de planos de saúde e documentos de identidade de mais de 5,6 milhões de pacientes.
Microsoft foi negligente, afirma o senador
Para o senador, supostamente, a Microsoft tomou decisões arriscadas no desenvolvimento de seus sistemas e não informou totalmente seus clientes corporativos e governamentais. Isso significa que, em lugares, como hospitais ou empresas, basta uma única pessoa clicar em um link malicioso para que um ataque de ransomware se espalhe rapidamente.
A Microsoft falhou completamente em impedir ou mesmo desacelerar o flagelo do ransomware possibilitado por seu software perigoso.
Senador Ron Wyden, em carta enviada ao presidente da Federal Trade Comission (FTC)
Segundo matéria no site CyberScoop, a equipe do senador entrevistou funcionários da Ascension e da Microsoft e identificou que o ataque “ilustra perfeitamente” as consequências das políticas de segurança cibernética da Microsoft.
Leia mais:
- Mais uma gigante da tecnologia anuncia o fim do home office
- Novos modelos de IA da Anthropic entram no radar da Microsoft
- Ataque cibernético derruba precisão de IA em nuvem de 80% para quase zero
Durante as entrevistas com a equipe do senador, funcionários da Ascension relataram que um prestador de serviços, usando um laptop corporativo, acessou o navegador Edge e o buscador Bing, ambos da Microsoft, para realizar uma pesquisa. Nesse processo, acabou clicando em um link de phishing.
A ação resultou na infecção do equipamento, que rapidamente se espalhou pela rede da Ascension. A partir daí, os hackers conseguiram acesso administrativo por meio do Active Directory, também da Microsoft, e disseminaram ransomware por milhares de computadores da empresa.
Ataque Kerberoasting utilizou vulnerabilidades já conhecidas
Para isso, segundo o senador, os hackers usaram o ataque Kerberoasting para acessar as contas. O método utiliza vulnerabilidades em protocolos de criptografia obsoletos para ser bem-sucedido.
A técnica aproveita o suporte contínuo da Microsoft por padrão a uma tecnologia insegura da década de 1980, chamada RC4.
Senador Ron Wyden, em carta enviada ao presidente da FTC
“Agências federais e especialistas em segurança cibernética, incluindo especialistas que trabalham para a Microsoft, vêm alertando há mais de uma década sobre o perigo”, comentou Wyden.
Ainda assim, alerta o CyberScoop, diversas organizações continuam em risco por dependerem do RC4, gerando investigações realizadas por diversos órgãos do governo dos Estados Unidos:
- Em 2023, a Agência de Segurança Cibernética e de Infraestrutura (CISA, na sigla em inglês) emite um alerta sobre a exploração do RC4 e do Kerberoasting no setor de saúde;
- No ano seguinte, CISA, FBI e NSA informam que países estrangeiros, como o Irã, estavam utilizando a mesma técnica para atacar empresas nos Estados Unidos;
- Em 2025, o senador Wyden questiona a Microsoft sobre a manutenção do suporte ao RC4, ressaltando que expõe clientes a riscos desnecessários e que existem alternativas mais seguras, como o AES;
- A Microsoft respondeu ao questionamento do senador e afirmou que o risco pode ser reduzido com senhas longas (mínimo de 14 caracteres), mas suas configurações padrão para contas privilegiadas não exigem isso dos usuários.
Ao CyberScoop, a Microsoft comentou que “o RC4 é um padrão antigo e desencorajamos seu uso […] No entanto, desabilitar seu uso completamente danificaria muitos sistemas de clientes”. Além disso, a empresa também comentou que pretende desabilitar o RC4 por padrão nas instalações do Active Directory a partir do primeiro trimestre de 2026.
