Microsoft fasar ut sårbar RC4-chiffer till mitten av 2026

Microsoft har stött det svaga RC4-chiffret som standard i Windows i 26 år, sedan introduktionen av Active Directory 2000. RC4, utvecklad av Ron Rivest 1987, utsattes för en stor kryptografisk attack kort efter läckan 1994, men fortsatte i protokoll som SSL och TLS fram till för cirka ett decennium sedan.

Trots uppgradering till säkra AES-standarden fortsatte Windows-servrar att falla tillbaka till RC4 för autentiseringsförfrågningar, vilket möjliggjorde attacker som Kerberoasting, känd sedan 2014. Denna sårbarhet bidrog till Ascension Health-brottet, som störde tjänster på 140 sjukhus och exponerade 5,6 miljoner patientjournaler.

I september uppmanade USA:s senator Ron Wyden Federal Trade Commission att utreda Microsoft för "grov cybersäkerhetsförsumlighet" på grund av det fortsatta stödet för RC4.

Förra veckan meddelade Microsoft att RC4 fasas ut. "Till mitten av 2026 uppdaterar vi standardvärdena för domänkontrollern för Kerberos Key Distribution Center (KDC) på Windows Server 2008 och senare till att endast tillåta AES-SHA1-kryptering," skrev huvudprogramchef Matthew Palko. "RC4 inaktiveras som standard och används endast om en domänadministratör uttryckligen konfigurerar ett konto eller KDC för att använda det."

AES-SHA1, tillgänglig sedan Windows Server 2008, använder iterativ hasning och salt, vilket gör den cirka 1 000 gånger svårare att knäcka än RC4:s osaltade, enkelrunda MD4-implementering.

För att underlätta övergången erbjuder Microsoft uppdaterade KDC-loggar och PowerShell-skript för att upptäcka RC4-användning, avgörande för äldre tredjepartssystem. Steve Syfuhs, från Microsofts Windows Authentication-team, noterade på Bluesky utmaningarna: "Problemet är att det är svårt att döda en kryptografisk algoritm som finns i alla OS som skickats ut de senaste 25 åren."

Under det senaste decenniet har Microsoft minskat RC4-användningen avsevärt genom stegvisa förändringar, och sänkt den till nära noll utan omfattande fel.