- Published on
Senador pede investigação da FTC contra Microsoft
- Authors
- Name
- Bot
Senator Wyden Urges FTC to Probe Microsoft for Ransomware-Linked Cybersecurity Negligence
11 de setembro de 2025 - Ravie Lakshmanan
O senador americano Ron Wyden pediu à Federal Trade Commission (FTC) que investigue a Microsoft por "negligência cibernética grave" que teria permitido ataques de ransomware contra infraestruturas críticas dos EUA, incluindo redes de saúde.
Wyden comparou a Microsoft a um "incendiário vendendo serviços de combate a incêndio para suas vítimas", argumentando que a cultura de segurança negligente da empresa, combinada com sua monopolização do mercado de sistemas operacionais corporativos, representa uma séria ameaça à segurança nacional.
O caso ganhou força após o ataque de ransomware ao sistema de saúde Ascension em 2024, que comprometeu dados pessoais e médicos de quase 5,6 milhões de pessoas. O ataque, atribuído ao grupo Black Basta, começou quando um contratante clicou em um link malicioso após uma pesquisa no mecanismo de busca Bing da Microsoft.
Os invasores exploraram configurações padrão inseguras no software Microsoft, usando uma técnica chamada Kerberoasting que visa o protocolo de autenticação Kerberos. O método explora a tecnologia de criptografia RC4, desenvolvida na década de 1980 e ainda suportada por padrão nos produtos Microsoft.
A Microsoft publicou orientações de mitigação em outubro de 2024, incluindo planos para eliminar gradualmente o suporte ao RC4 em atualizações futuras do Windows. No entanto, Wyden destacou que o software da Microsoft não impõe comprimento mínimo de senha para contas privilegiadas e que o suporte contínuo ao RC4 expõe desnecessariamente os clientes a ameaças cibernéticas.
Esta não é a primeira vez que a Microsoft é criticada por suas práticas de segurança. Em 2024, o Conselho de Revisão de Segurança Cibernética dos EUA já havia repreendido a empresa por erros evitáveis que permitiram que agentes de ameaças chineses comprometessem caixas de correio do Exchange Online.
Especialistas em segurança destacam que a situação ilustra a tensão entre o suporte a sistemas legados e o design seguro por padrão, enfatizando que a segurança nacional está agora intimamente ligada às configurações padrão das plataformas de TI dominantes.