Microsoft a decis să renunțe la cifrul de criptare RC4, considerat învechit și vulnerabil, după ce acesta a fost susținut implicit de Windows timp de 26 de ani. De-a lungul timpului, RC4 a fost exploatat de hackeri în multiple atacuri devastatoare, iar recent a primit critici severe din partea unui senator american proeminent.
Când Microsoft a introdus Active Directory în anul 2000, RC4 a devenit singura metodă de securizare a componentei Windows, utilizată de administratori pentru configurarea și gestionarea conturilor de utilizatori și administratori în cadrul organizațiilor mari. RC4, abreviere pentru Rivest Cipher 4, reprezintă un omagiu adus matematicianului și criptograf Ron Rivest de la RSA Security, care a dezvoltat cifrul în flux în 1987. La scurt timp după ce algoritmul protejat ca secret comercial a fost scurs în 1994, un cercetător a demonstrat un atac criptografic care a slăbit semnificativ securitatea despre care se credea că o oferă. Cu toate acestea, RC4 a rămas un standard în protocoalele de criptare, inclusiv SSL și succesorul său TLS, până acum aproximativ un deceniu.
Unul dintre cei mai vizibili susținători ai RC4 a fost Microsoft. În cele din urmă, Microsoft a actualizat Active Directory pentru a suporta standardul de criptare mult mai sigur AES. Totuși, implicit, serverele Windows au continuat să răspundă la cererile de autentificare bazate pe RC4 și să returneze un răspuns bazat pe RC4. Această lacună a fost exploatată frecvent de hackeri pentru a compromite rețelele întreprinderilor. Utilizarea RC4 a jucat un rol cheie în breșa de securitate suferită anul trecut de gigantul din domeniul sănătății Ascension, care a provocat întreruperi ce au pus vieți în pericol în 140 de spitale și a expus datele medicale a 5,6 milioane de pacienți. În septembrie, senatorul american Ron Wyden (D-Ore.) a solicitat Comisiei Federale pentru Comerț să investigheze Microsoft pentru „neglijență gravă în materie de securitate cibernetică”, citând suportul implicit continuu pentru RC4.
Săptămâna trecută, Microsoft a anunțat că va renunța definitiv la RC4, menționând vulnerabilitatea acestuia la Kerberoasting, forma de atac cunoscută din 2014, care a stat la baza intruziunii inițiale în rețeaua Ascension.
„Până la mijlocul anului 2026, vom actualiza configurările implicite ale controlerului de domeniu pentru Centrul de Distribuție a Cheilor Kerberos (KDC) pe Windows Server 2008 și versiunile ulterioare pentru a permite doar criptarea AES-SHA1”, a scris Matthew Palko, manager de program principal la Microsoft. „RC4 va fi dezactivat implicit și utilizat doar dacă un administrator de domeniu configurează explicit un cont sau KDC să-l folosească.”
AES-SHA1, un algoritm considerat larg ca fiind sigur, este disponibil în toate versiunile de Windows suportate de la lansarea Windows Server 2008. De atunci, clienții Windows s-au autentificat implicit folosind acest standard mult mai sigur, iar serverele au răspuns utilizând același standard. Totuși, serverele Windows, de asemenea implicit, răspund la cererile de autentificare bazate pe RC4 și returnează un răspuns bazat pe RC4, lăsând rețelele deschise la Kerberoasting.
După schimbarea de anul viitor, autentificarea RC4 va fi eliminată treptat.
Poll: Vă invităm să ne spuneți care dintre metodele de criptare preferați mai mult pentru a vă asigura securitatea datelor:
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply