Microsoft depreciará o cifrador RC4 vulnerável em meados de 2026

A Microsoft vai desativar o cifrador de encriptação RC4 obsoleto no Windows Active Directory até meados de 2026, abordando décadas de vulnerabilidades de segurança. A medida segue críticas ao seu papel em grandes hacks, incluindo a violação da Ascension no ano passado que afetou 140 hospitais. Os administradores devem agora auditar as redes em busca de uso persistente de RC4.

A Microsoft tem suportado o cifrador RC4 fraco por predefinição no Windows há 26 anos, desde a introdução do Active Directory em 2000. O RC4, desenvolvido por Ron Rivest em 1987, enfrentou um grande ataque criptográfico logo após o seu vazamento em 1994, mas persistiu em protocolos como SSL e TLS até cerca de uma década atrás.

Apesar da atualização para o padrão seguro AES, os servidores Windows continuaram a recorrer ao RC4 para pedidos de autenticação, permitindo ataques como Kerberoasting, conhecido desde 2014. Esta vulnerabilidade contribuiu para a violação na Ascension Health, interrompendo serviços em 140 hospitais e expondo registos de 5,6 milhões de pacientes.

Em setembro, o senador norte-americano Ron Wyden instou a Comissão Federal de Comércio a investigar a Microsoft por "negligência grave em cibersegurança" devido ao suporte contínuo ao RC4.

Na semana passada, a Microsoft anunciou a depreciação do RC4. "Até meados de 2026, atualizaremos os predefinidos do controlador de domínio para o Kerberos Key Distribution Center (KDC) no Windows Server 2008 e posteriores para apenas permitir encriptação AES-SHA1", escreveu o gestor principal de programas Matthew Palko. "O RC4 será desativado por predefinição e só usado se um administrador de domínio configurar explicitamente uma conta ou o KDC para o usar."

O AES-SHA1, disponível desde o Windows Server 2008, usa hash iterado e sal, tornando-o cerca de 1.000 vezes mais difícil de quebrar do que a implementação MD4 de ronda única sem sal do RC4.

Para auxiliar a transição, a Microsoft oferece registos KDC atualizados e scripts PowerShell para detetar o uso de RC4, crucial para sistemas legados de terceiros. Steve Syfuhs, da equipa de Autenticação Windows da Microsoft, notou no Bluesky os desafios: "O problema é que é difícil eliminar um algoritmo criptográfico presente em todos os SO enviados nos últimos 25 anos."

Na última década, a Microsoft reduziu significativamente o uso do RC4 através de mudanças incrementais, reduzindo-o para quase zero sem quebras generalizadas.

Artigos relacionados

Microsoft has released an emergency patch for a high-severity vulnerability in its ASP.NET Core framework, affecting macOS and Linux applications. Tracked as CVE-2026-40372, the flaw allows unauthenticated attackers to gain SYSTEM privileges through forged authentication payloads. The company advises immediate updates and key rotation to fully mitigate risks.

Reportado por IA

Microsoft has alerted users that hackers are targeting password reset processes to breach accounts. The activity is attributed to the group Storm-2949.

Researchers have uncovered a large-scale compromise of Fortinet firewalls that exposed plaintext credentials for nearly 74,000 devices across 194 countries. The breach affects organizations including Oracle, Chevron, Lenovo, FedEx, and Fortinet itself, along with a NATO defense contractor.

Reportado por IA

Microsoft released its June Patch Tuesday update for Windows 11 on June 10, introducing a low-latency profile and other performance improvements. The update also patches 206 security vulnerabilities.

Este site usa cookies

Usamos cookies para análise para melhorar nosso site. Leia nossa política de privacidade para mais informações.
Recusar