Microsoft está matando Desligue cifras desatualizadas e fracas. janela tem suporte por padrão há 26 anos. Isto segue-se a mais de uma década de hacks devastadores e recentes críticas pesadas de proeminentes senadores dos EUA.
Quando os fabricantes de software implantaram o Active Directory em 2000, o RC4 se tornou a única maneira de proteger os componentes do Windows, e os administradores o usaram para configurar e provisionar outras contas de administrador e de usuário em grandes organizações. RC4 significa Rivist Cipher 4, em homenagem ao matemático e criptógrafo da RSA Security Ron Rivest, que desenvolveu a cifra de fluxo em 1987. Poucos dias depois do vazamento do algoritmo de segredo comercial em 1994, um pesquisador demonstrou um ataque criptográfico que enfraqueceu significativamente a segurança que se acreditava fornecer. Embora o RC4 fosse conhecido por ser vulnerável, ele permaneceu como o protocolo criptográfico dominante, incluindo o SSL e seu sucessor, o TLS, até cerca de uma década atrás.
lidar com o velho
Um dos mais proeminentes defensores do RC4 é a Microsoft. Eventualmente, a Microsoft atualizou o Active Directory para suportar o padrão de criptografia AES mais seguro. No entanto, por padrão, os servidores Windows continuam a responder às solicitações de autenticação baseadas em RC4 e a retornar respostas baseadas em RC4. O fallback RC4 é uma fraqueza favorita explorada por hackers para comprometer redes corporativas. Jogado usando RC4 papel importante Este é o caso de violação da gigante da saúde Ascension Inc. no ano passado. A violação causou perturbações potencialmente fatais em 140 hospitais e colocou os registos médicos de 5,6 milhões de pacientes nas mãos dos atacantes. O senador norte-americano Ron Wyden, democrata de Oregon, em setembro Ele pediu à Comissão Federal de Comércio que investigasse a Microsoft por “lapsos graves de segurança cibernética” devido ao suporte padrão contínuo para RC4.
“Em meados de 2026, planejamos atualizar os padrões do controlador de domínio do Windows Server 2008 e posterior do Kerberos Key Distribution Center (KDC) para permitir apenas a criptografia AES-SHA1”, disse Matthew Palko, principal gerente de programa da Microsoft. “RC4 está desabilitado por padrão e só é usado se o administrador do domínio o configurar explicitamente para usar sua conta ou KDC.”
AES-SHA1, um algoritmo amplamente considerado seguro, está disponível em todas as versões suportadas do Windows desde o lançamento do Windows Server 2008. Desde então, os clientes Windows agora autenticam usando um padrão mais seguro por padrão, e os servidores respondem usando o mesmo padrão. No entanto, os servidores Windows também respondem às solicitações de autenticação baseadas em RC4 por padrão, retornam respostas baseadas em RC4 e deixam a rede aberta para Kerberoasting.
Com as mudanças do próximo ano, a autenticação RC4 não funcionará mais, a menos que os administradores façam trabalho adicional para permitir isso. Enquanto isso, Parco disse que é importante que os administradores identifiquem sistemas em suas redes que dependem de criptografia. Apesar das vulnerabilidades conhecidas, o RC4 continua sendo o único meio para alguns sistemas legados de terceiros se autenticarem em redes Windows. Esses sistemas são frequentemente ignorados na rede, embora sejam necessários para funções críticas.
