A Microsoft vai desativar o cifrador de encriptação RC4 obsoleto no Windows Active Directory até meados de 2026, abordando décadas de vulnerabilidades de segurança. A medida segue críticas ao seu papel em grandes hacks, incluindo a violação da Ascension no ano passado que afetou 140 hospitais. Os administradores devem agora auditar as redes em busca de uso persistente de RC4.
A Microsoft tem suportado o cifrador RC4 fraco por predefinição no Windows há 26 anos, desde a introdução do Active Directory em 2000. O RC4, desenvolvido por Ron Rivest em 1987, enfrentou um grande ataque criptográfico logo após o seu vazamento em 1994, mas persistiu em protocolos como SSL e TLS até cerca de uma década atrás.
Apesar da atualização para o padrão seguro AES, os servidores Windows continuaram a recorrer ao RC4 para pedidos de autenticação, permitindo ataques como Kerberoasting, conhecido desde 2014. Esta vulnerabilidade contribuiu para a violação na Ascension Health, interrompendo serviços em 140 hospitais e expondo registos de 5,6 milhões de pacientes.
Em setembro, o senador norte-americano Ron Wyden instou a Comissão Federal de Comércio a investigar a Microsoft por "negligência grave em cibersegurança" devido ao suporte contínuo ao RC4.
Na semana passada, a Microsoft anunciou a depreciação do RC4. "Até meados de 2026, atualizaremos os predefinidos do controlador de domínio para o Kerberos Key Distribution Center (KDC) no Windows Server 2008 e posteriores para apenas permitir encriptação AES-SHA1", escreveu o gestor principal de programas Matthew Palko. "O RC4 será desativado por predefinição e só usado se um administrador de domínio configurar explicitamente uma conta ou o KDC para o usar."
O AES-SHA1, disponível desde o Windows Server 2008, usa hash iterado e sal, tornando-o cerca de 1.000 vezes mais difícil de quebrar do que a implementação MD4 de ronda única sem sal do RC4.
Para auxiliar a transição, a Microsoft oferece registos KDC atualizados e scripts PowerShell para detetar o uso de RC4, crucial para sistemas legados de terceiros. Steve Syfuhs, da equipa de Autenticação Windows da Microsoft, notou no Bluesky os desafios: "O problema é que é difícil eliminar um algoritmo criptográfico presente em todos os SO enviados nos últimos 25 anos."
Na última década, a Microsoft reduziu significativamente o uso do RC4 através de mudanças incrementais, reduzindo-o para quase zero sem quebras generalizadas.