Microsoft akan menonaktifkan cipher enkripsi RC4 usang di Windows Active Directory pada pertengahan 2026, mengatasi puluhan tahun kerentanan keamanan. Langkah ini menyusul kritik atas perannya dalam peretasan besar, termasuk pelanggaran Ascension tahun lalu yang memengaruhi 140 rumah sakit. Administrator sekarang harus mengaudit jaringan untuk penggunaan RC4 yang masih tersisa.
Microsoft telah mendukung cipher RC4 yang lemah secara default di Windows selama 26 tahun, sejak memperkenalkan Active Directory pada 2000. RC4, yang dikembangkan oleh Ron Rivest pada 1987, menghadapi serangan kriptografi besar tak lama setelah kebocorannya pada 1994, namun tetap digunakan dalam protokol seperti SSL dan TLS hingga sekitar satu dekade lalu.
Meskipun ditingkatkan ke standar AES yang aman, server Windows terus kembali ke RC4 untuk permintaan autentikasi, memungkinkan serangan seperti Kerberoasting, yang diketahui sejak 2014. Kerentanan ini berkontribusi pada pelanggaran kesehatan Ascension, yang mengganggu layanan di 140 rumah sakit dan mengekspos catatan 5,6 juta pasien.
Pada September, Senator AS Ron Wyden mendesak Komisi Perdagangan Federal untuk menyelidiki Microsoft atas "kelalaian keamanan siber yang parah" karena dukungan berkelanjutan terhadap RC4.
Minggu lalu, Microsoft mengumumkan penghentian RC4. "Pada pertengahan 2026, kami akan memperbarui default pengontrol domain untuk Kerberos Key Distribution Center (KDC) pada Windows Server 2008 dan yang lebih baru untuk hanya mengizinkan enkripsi AES-SHA1," tulis manajer program utama Matthew Palko. "RC4 akan dinonaktifkan secara default dan hanya digunakan jika administrator domain secara eksplisit mengonfigurasi akun atau KDC untuk menggunakannya."
AES-SHA1, yang tersedia sejak Windows Server 2008, menggunakan hashing berulang dan garam, menjadikannya sekitar 1.000 kali lebih sulit dipecahkan daripada implementasi MD4 satu putaran tanpa garam RC4.
Untuk membantu transisi, Microsoft menyediakan log KDC yang diperbarui dan skrip PowerShell untuk mendeteksi penggunaan RC4, yang krusial untuk sistem pihak ketiga lama. Steve Syfuhs, dari tim Autentikasi Windows Microsoft, mencatat di Bluesky tantangannya: "Masalahnya adalah sulit membunuh algoritma kriptografi yang ada di setiap OS yang dikirim selama 25 tahun terakhir."
Selama dekade terakhir, Microsoft secara signifikan mengurangi penggunaan RC4 melalui perubahan bertahap, menurunkannya hampir ke nol tanpa kerusakan luas.