Senator VS: Microsoft schuldig aan nalatigheid bij ransomware

In dit artikel:

Amerikaanse senator Ron Wyden heeft de Federal Trade Commission gevraagd officieel onderzoek te doen naar Microsoft wegens wat hij noemt jarenlange tekortkomingen op het gebied van cybersecurity. In een brief aan FTC-voorzitter Andrew N. Ferguson voert Wyden aan dat zwakke beveiligingskeuzes van Microsoft hebben bijgedragen aan een toename van grootschalige ransomware-aanvallen op kritieke infrastructuur, met name de gezondheidszorg in de VS.

Wyden wijst naar cijfers van de Director of National Intelligence: in 2024 waren er wereldwijd meer dan 5.000 ransomware-incidenten — een stijging ten opzichte van voorgaande jaren — en ongeveer de helft van de slachtoffers zou in de Verenigde Staten zitten. Omdat Windows dominant is in zowel bedrijfs- als overheidsomgevingen en organisaties vaak de standaardinstellingen handhaven, stelt Wyden dat Microsofts ontwerp- en configuratiekeuzes direct van invloed zijn op de weerbaarheid tegen aanvallen.

Als concreet voorbeeld noemt hij de ransomware-inbraak bij zorgorganisatie Ascension in februari 2024. Daar leidde een klik op een malafide link in Microsoft Edge (met Bing als standaard) tot verspreiding van malware, compromise van Active Directory en uiteindelijk duizenden geïnfecteerde systemen en de buitmaking van persoonsgegevens van bijna 5,6 miljoen patiënten. De aanvallers maakten gebruik van Kerberoasting, een aanvalstechniek die profiteert van het feit dat het oudere RC4-encryptieprotocol in veel Windows-installaties nog actief is. Ondanks waarschuwingen uit de veiligheidswereld staat RC4 volgens Wyden nog steeds niet standaard uitgeschakeld; Microsoft raadt wel lange wachtwoorden aan maar dwingt die niet af. Ook bekritiseert Wyden de gebrekkige communicatie van Microsoft richting bestuurders en IT-managers.

Microsoft reageerde tegenover Reuters dat RC4 inmiddels minder dan 0,1% van het verkeer betreft en dat direct volledig uitschakelen bestaande klantensystemen zou verstoren. Het bedrijf belooft RC4 in bepaalde producten vanaf Q1 2026 standaard uit te schakelen en extra maatregelen voor bestaande installaties. Wyden benadrukt dat het Ascension-geval niet op zichzelf staat: in 2023–2024 hebben ook door China gelinkte actoren misbruik gemaakt van kwetsbaarheden in Microsoft-software, en een Cyber Safety Review Board concludeerde eerder dat de beveiligingscultuur bij Microsoft onvoldoende is.

Wyden vraagt de FTC te onderzoeken of Microsoft zich schuldig heeft gemaakt aan oneerlijke of misleidende handelspraktijken en aansprakelijk gehouden moet worden voor de schade. De FTC heeft de brief ontvangen maar gaf verder geen inhoudelijke reactie.