ព្រឹទ្ធសភាអាមេរិក Ron Wyden បានផ្ញើសំបុត្រទៅគណៈកម្មការពាណិជ្ជកម្មសហព័ន្ធ (FTC) ស្នើសុំភ្នាក់ងារឱ្យស៊ើបអង្កេតក្រុមហ៊ុន Microsoft ពីបទខកខានក្នុងការផ្តល់សុវត្ថិភាពគ្រប់គ្រាន់នៅក្នុងផលិតផលរបស់ខ្លួន ដែលនាំឱ្យមានការវាយប្រហារដោយមេរោគចាប់ជម្រិតប្រឆាំងនឹងស្ថាប័នសុខាភិបាល។
ព្រឹទ្ធសភាចាប់ផ្តើមស្នើសុំជាផ្លូវការដោយនិយាយថា Microsoft គួរតែទទួលខុសត្រូវលើការធ្វេសប្រហែសសន្តិសុខសាយប័ររួមរបស់ខ្លួន ដែលបណ្តាលឱ្យមានការវាយប្រហារដោយមេរោគចាប់ជម្រិតប្រឆាំងនឹងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗរួមមានស្ថាប័នសុខាភិបាលអាមេរិក។ ព្រឹទ្ធសភាបានលើកឡើងពីការបរាជ័យដ៏យូររបស់ក្រុមហ៊ុន Microsoft ក្នុងការចាត់វិធានការកាត់បន្ថយហានិភ័យផ្នែកសន្តិសុខដែលមានឯកសារត្រឹមត្រូវនៅក្នុងផលិតផលរបស់ខ្លួនដែលបណ្តាលឱ្យមានការវាយប្រហារដូចជាការបំពានដោយមេរោគចាប់ជម្រិតលើ Ascension Health និងបានគ្រប់គ្រងទិន្នន័យអ្នកជម្ងឺប្រមាណជា ៥,៦លាននាក់។
ឧប្បត្តិហេតុដែលបានកើតឡើងនៅខែឧសភា ឆ្នាំ២០២៤ បានត្រូវលាតត្រដាងនៅពេលក្រុមហ៊ុនម៉ៅការបានចុចលើលទ្ធផលស្វែងរក Bing ព្យាបាទនៅក្នុង Microsoft Edge ដែលអនុញ្ញាតឱ្យហេគឃ័រធ្វើការវាយប្រហារ “Kerberoasting”។ Kerberos គឺជា Protocol ផ្ទៀងផ្ទាត់ណិតវើកមួយដែលផ្តល់ឱ្យអ្នកប្រើប្រាស់ និងសេវាកម្មដំណើរការរបស់ Network Resources និងការផ្ទៀងផ្ទាត់អត្តសញ្ញាណរបស់ពួកគេដោយមិនត្រូវការ Password Exchange។ Kerberoasting គឺជាតិចនិកគ្រប់គ្រង ដែលអនុញ្ញាតឱ្យហេគឃ័រលួចអត្តសញ្ញាណគណនីសេវាកម្មដែលបានអ៊ីនគ្រីបពី Microsoft Active Directory។ វាទាញយកផលប្រយោជន៍ពីភាពទន់ខ្សោយ ឬ easy-to-guess Passwords ពេលខ្លះត្រូវបានអ៊ីនគ្រីបជាមួយនឹងការគណនាដែលគ្មានសុវត្ថិភាព រួមទាំង Deprecated RC4 Algorithm ដែលអាចត្រូវបានឌីគ្រីបជាមួយនឹង Tools សម្រាប់វាយប្រហារ Brute-force ដែលអាចរកបានយ៉ាងងាយ។
បន្ទាប់ពីឌីគ្រីបលេខសម្ងាត់ ហេគឃ័រអាចប្រើវាសម្រាប់បង្កើនសិទ្ធិ និងផ្លាស់ទីនៅក្នុងណិតវើកដែលបានគ្រប់គ្រង ដូចនៅក្នុងករណីការបំពានលើ Ascension Health។ ព្រឹទ្ធសភាក៏បានបន្តថា ក្រុមការងាររបស់គាត់បាននិយាយជាមួយ Microsoft កាលពីពាក់កណ្តាលឆ្នាំ២០២៤ ដើម្បីបញ្ចុះបញ្ចូលឱ្យក្រុមហ៊ុនព្រមានដល់អតិថិជនពីគ្រោះថ្នាក់នៃការប្រើ RC4 ជំនួសឱ្យ Robust Options ដូចជា AES 128/256 និងចុងក្រោយធ្វើការកំណត់ Default Setting។
ក្រុមហ៊ុនបានឆ្លើយតបកាលពីខែតុលា ជាមួយនឹងព្រឹទ្ធសភាដែលបានលើកឡើងអំពីលក្ខណៈបច្ចេកទេសខ្ពស់ និងមិនបានបង្ហាញពីការព្រមានច្បាស់លាស់ដល់អ្នកធ្វើការសម្រេចចិត្តនៅក្នុងក្រុមហ៊ុននានា។ RC4 Encryption Algorithm នៅតែជាជម្រើសនៅក្នុង Kerberos បើទោះជាមានកូដសម្ងាត់ខ្សោយដែលមានភាពងាយរងគ្រោះដែលអនុញ្ញាតឱ្យទាញយកព័ត៌មាន Plaintext ក្តី។ គួរកត់សម្គាល់ដែរថា ក្រុមហ៊ុនបានសន្យាថានឹងពង្រឹងសុវត្ថិភាពនៅក្នុងផលិតផលរបស់ខ្លួន។ RC4 នៅតែបន្តមានវត្តមាននៅក្នុង Kerberos ដើម្បីគាំទ្រដល់ប្រព័ន្ធចាស់ៗ ដែលមិនទទួលយកក្បួនដោះស្រាយថ្មី និងសុវត្ថិភាពជាង។ លោក Wyden បានកំណត់ការអនុវត្តរបស់ Microsoft ថាជាហានិភ័យផ្នែកសន្តិសុខជាតិដ៏ធ្ងន់ធ្ងរ ដោយបង្ហាញភាពប្រាកដប្រជាថាឧប្បត្តិហេតុដ៏មានឥទ្ធិពលនឹងកើតឡើងខ្ពស់ ប្រសិនបើ FTC មិនធ្វើអន្តរាគមន៍។
RC4 គឺជាស្តង់ដារចាស់ ហើយក្រុមហ៊ុនមិនបានណែនាំឱ្យប្រើវានៅក្នុងរបៀបដែលក្រុមហ៊ុនធ្វើវិស្វកម្មកម្មវិធីរបស់ក្រុមហ៊ុន និងនៅក្នុងឯកសាររបស់ក្រុមហ៊ុនដល់អតិថិជនទេ នោះហើយជាមូលហេតុដែលវាបង្កើតបានតិចជាង ១% នៃចរាចរណ៍របស់ក្រុមហ៊ុន (traffic)។ ទោះជាយ៉ាងណា ការបិទការប្រើប្រាស់របស់វាអាចនឹងរំខានដល់ប្រព័ន្ធរបស់អតិថិជនជាច្រើន។ ក្រុមហ៊ុនកំពុងតែធ្វើការដើម្បីលុបការគណនានេះចេញ ដោយមិនរំខានដល់អតិថិជន ហើយកំពុងតែព្រមានពីការប្រើប្រាស់វាផងដែរ ព្រមទាំងផ្តល់ការណែនាំសម្រាប់ការប្រើការគណនាតាមវិធីដែលមានសុវត្ថិភាពបំផុតតាមដែលអាចធ្វើបាន។ ក្រុមហ៊ុនក៏មានបញ្ហានេះនៅក្នុងផែនការរបស់ក្រុមហ៊ុនដែរ ដើម្បីបិទការប្រើប្រាស់បញ្ហានេះ ក្រុមហ៊ុនបានចូលរួមជាមួយការិយាល័យព្រឹទ្ធសភាលើបញ្ហានេះ ហើយនឹងបន្តស្តាប់ និងឆ្លើយសំណួរពីអតិថិជន ឬអ្នកដទៃទៀតក្នុងរដ្ឋាភិបាល បើយោងតាមអ្នកនាំពាក្យ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១១ ខែកញ្ញា ឆ្នាំ២០២៥
