De Amerikaanse senator Ron Wyden heeft de Federal Trade Commission (FTC) officieel verzocht een onderzoek te starten naar Microsoft. In een brief aan FTC-voorzitter Andrew N. Ferguson stelt Wyden dat Microsoft jarenlang grove nalatigheid heeft getoond op het gebied van cybersecurity.
Volgens hem heeft dit geleid tot grootschalige ransomware-aanvallen op kritieke infrastructuur, waaronder de Amerikaanse gezondheidszorg. Wyden verwijst in zijn brief naar cijfers van de Director of National Intelligence (DNI): in 2024 vonden wereldwijd meer dan 5.000 ransomware-aanvallen plaats, een stijging van 15 procent ten opzichte van 2023 en ruim 100 procent ten opzichte van 2022.
De helft van alle slachtoffers zou in de VS gevestigd zijn. Volgens Wyden speelt Microsoft hierin een centrale rol. Windows is immers het dominante besturingssysteem in zowel bedrijfsleven als overheid. Omdat organisaties in de praktijk vaak de standaardinstellingen gebruiken, zouden Microsofts keuzes voor configuratie en beveiliging een directe impact hebben op de weerbaarheid tegen cyberaanvallen.
Als concreet voorbeeld noemt Wyden de ransomware-aanval op Ascension, een van de grootste non-profit zorgsystemen in de VS. In februari 2024 klikte een externe medewerker op een malafide link in Microsofts Edge-browser, met Bing als standaardzoekmachine.
Duizenden besmette systemen
Het gevolg was dat malware zich door het netwerk verspreidde, hackers toegang kregen tot Microsoft Active Directory en beheerdersrechten verwierven. Uiteindelijk werden duizenden systemen besmet en de gegevens van bijna 5,6 miljoen patiënten buitgemaakt.
De aanval maakte gebruik van Kerberoasting, een techniek die misbruik maakt van het nog altijd ingeschakelde RC4-encryptieprotocol in Windows. Ondanks jarenlange waarschuwingen vanuit de veiligheidssector is RC4 niet standaard uitgeschakeld.
Microsoft adviseert wel lange wachtwoorden, maar legt die niet verplicht op. Wyden hekelt bovendien de manier waarop Microsoft communiceerde. De waarschuwing werd weggestopt in een technisch blog op een vrijdagmiddag, zonder duidelijke uitleg richting bestuurders of IT-managers.
Microsoft reageerde via Reuters dat het gebruik van RC4 inmiddels minder dan 0,1 procent van het verkeer uitmaakt en dat volledig uitschakelen nu nog te veel bestaande klantensystemen zou verstoren. Het bedrijf stelt verder dat RC4 vanaf het eerste kwartaal van 2026 standaard zal worden uitgeschakeld in bepaalde Windows-producten en dat er aanvullende maatregelen komen voor bestaande installaties.
Hacks door Chinese actoren
Wyden wijst erop dat het Ascension-incident niet op zichzelf staat. In 2023 en 2024 waren er meerdere grote hacks waarbij Chinese actoren misbruik maakten van kwetsbaarheden in Microsoft-software. Het Cyber Safety Review Board concludeerde destijds dat de beveiligingscultuur van Microsoft ontoereikend was en grondig hervormd moest worden.
De senator stelt dat Microsofts nalatigheid, gecombineerd met de quasi-monopoliepositie in de enterprise-markt, een structureel risico vormt voor de nationale veiligheid. Hij vraagt de FTC om te onderzoeken of Microsoft zich schuldig maakt aan oneerlijke en misleidende handelspraktijken en om het bedrijf verantwoordelijk te houden voor de schade. Persbureau Reuters meldt dat de FTC heeft bevestigd de brief te hebben ontvangen, maar geen verdere inhoudelijke reactie gaf.