Microsoft vai descontinuar cifra de criptografia vulnerável presente no Windows há mais de 20 anos

A Microsoft anunciou que está encerrando o suporte a uma cifra de criptografia obsoleta e vulnerável que o Windows manteve ativada por padrão por 26 anos.

A RC4 (Rivest Cipher 4) foi desenvolvida em 1987. Poucos dias após o algoritmo, protegido como segredo comercial, vazar em 1994, um pesquisador demonstrou um ataque criptográfico que enfraqueceu a segurança que se acreditava que ele oferecia. Apesar disso, a RC4 continuou sendo amplamente usada em protocolos de criptografia, incluindo SSL e TLS, e pela própria Microsoft no Active Directory.

Com o tempo, a Microsoft atualizou o Active Directory para oferecer suporte ao padrão de criptografia muito mais seguro AES. Ainda assim, por padrão, servidores Windows continuaram respondendo a solicitações de autenticação baseadas em RC4 e retornando respostas também em RC4. Por muito tempo, hackers exploraram a cifra para comprometer redes corporativas, uma vez que ela permitia ataques de Kerberoasting, uma técnica de ataque usada contra ambientes Windows que exploram o Active Directory e o protocolo de autenticação Kerberos..

A Microsoft afirma que, até meados de 2026, vai atualizar as configurações padrão dos controladores de domínio do Kerberos Key Distribution Center (KDC) no Windows Server 2008 e versões posteriores para permitir apenas criptografia AES-SHA1. A RC4 será desativada por padrão e só será usada se um administrador de domínio configurar explicitamente uma conta ou o KDC para isso. Na prática, senhas protegidas com AES-SHA1 exigem cerca de 1.000 vezes mais tempo e recursos para serem quebradas.