A Microsoft 26 év után elavultnak nyilvánítja az RC4 titkosítást
Huszonhat év után a Microsoft végre frissíti a Windowsban még megmaradt utolsó példányát az RC4 (Rivest Cipher 4) titkosítási algoritmusnak – áll Bruce Schneier mult heti posztjában. A Microsoft frissítette az Active Directory-t, hogy támogassa a sokkal biztonságosabb AES algoritmust, de alapértelmezés szerint a Windows szerverek továbbra is reagáltak az RC4-alapú hitelesítési kérésekre, és RC4-alapú választ adtak vissza.
Az RC4 használata kulcsszerepet játszott a tavalyi Ascension egészségügyi óriáscég elleni támadásban. A támadás 140 kórházban életveszélyes zavarokat okozott, és 5,6 millió beteg orvosi adatait juttatta a támadók kezébe. Ron Wyden (D-Ore.) amerikai szenátor szeptemberben felszólította a Szövetségi Kereskedelmi Bizottságot, hogy vizsgálja ki a Microsoftot „súlyos kiberbiztonsági gondatlanság” miatt, hivatkozva az RC4 alapértelmezett támogatásának folytatására.
A Microsoft december elején jelentette be, hogy végre elavultnak nyilvánítja az RC4-et. Az RC4, amely egykor a kompatibilitás alapja volt, érzékeny az olyan támadásokra, mint a Kerberoasting, amelyeket felhasználhatnak a hitelesítő adatok megszerzésére és a hálózatok kompromittálására – áll a Microsoft bejegyzésében.
A Microsoft 2026 közepéig frissíti a Windows Server 2008 és újabb verziókban a Kerberos Key Distribution Center (KDC) DC-k alapértelmezett beállításait, hogy csak az AES-SHA1 titkosítás legyen engedélyezett. Az RC4 alapértelmezés szerint letiltásra kerül, és csak akkor lesz használható, ha a domain admin kifejezetten beállít egy fiókot vagy a KDC-t annak használatára. A biztonságos Windows-hitelesítés nem igényli az RC4-et, az AES-SHA1 a Windows Server 2008 bevezetése óta minden támogatott Windows-verzióban használható. A Microsoft blogbejegyzése segíti az IT-szakembereket az AES-SHA1 titkosításra való átállásban és lépéseket kínál a megmaradt RC4-használat felismerésére és kezelésére.
