ستقوم مايكروسوفت بتعطيل شفرة التشفير القديمة RC4 في Windows Active Directory بحلول منتصف 2026، لمعالجة عقود من الثغرات الأمنية. يأتي هذا الإجراء بعد انتقادات لدورها في الهجمات الكبرى، بما في ذلك اختراق Ascension العام الماضي الذي أثر على 140 مستشفى. يجب على المشرفين الآن تدقيق الشبكات بحثًا عن استخدام RC4 المستمر.
دعمت مايكروسوفت شفرة RC4 الضعيفة افتراضيًا في ويندوز لمدة 26 عامًا، منذ إدخال Active Directory في عام 2000. واجه RC4، الذي طوره رون ريفست في 1987، هجومًا كريبتوغرافيًا كبيرًا بعد تسريبه في 1994، لكنه استمر في بروتوكولات مثل SSL وTLS حتى حوالي عقد مضى.
رغم الترقية إلى معيار AES الآمن، استمرت خوادم ويندوز في الرجوع إلى RC4 لطلبات المصادقة، مما مكن هجمات مثل Kerberoasting، المعروفة منذ 2014. ساهمت هذه الثغرة في اختراق Ascension Health، الذي أدى إلى تعطيل الخدمات في 140 مستشفى وكشف سجلات 5.6 مليون مريض.
في سبتمبر، حث السيناتور الأمريكي رون وايدن لجنة التجارة الفيدرالية على التحقيق في مايكروسوفت بسبب "إهمال فاضح في الأمن السيبراني" بسبب دعم RC4 المستمر.
الأسبوع الماضي، أعلنت مايكروسوفت عن تعطيل RC4. "بحلول منتصف 2026، سنقوم بتحديث إعدادات الخادم الافتراضية لمركز توزيع مفاتيح Kerberos (KDC) في Windows Server 2008 وما بعده للسماح بالتشفير AES-SHA1 فقط"، كتب مدير البرامج الرئيسي ماثيو بالكو. "سيتم تعطيل RC4 افتراضيًا وسيُستخدم فقط إذا قام مدير النطاق بتكوين حساب أو KDC صراحة لاستخدامه".
يستخدم AES-SHA1، المتاح منذ Windows Server 2008، التهجين المتكرر والملح، مما يجعله أصعب بـ1000 مرة في الكسر مقارنة بتنفيذ RC4 MD4 غير المملح من جولة واحدة.
للمساعدة في الانتقال، تقدم مايكروسوفت سجلات KDC محدثة وسكريبتات PowerShell لاكتشاف استخدام RC4، وهو أمر حاسم لأنظمة الطرف الثالث القديمة. قال ستيف سيفوهس، من فريق مصادقة ويندوز في مايكروسوفت، على Bluesky التحديات: "المشكلة أن من الصعب القضاء على خوارزمية تشفير موجودة في كل نظام تشغيل شُحن خلال الـ25 عامًا الماضية".
خلال العقد الماضي، قللت مايكروسوفت من استخدام RC4 بشكل كبير من خلال تغييرات تدريجية، مما أدى إلى انخفاضه إلى ما يقارب الصفر دون أعطال واسعة النطاق.