- RC4 foi explorado em ataques de alto perfil em redes corporativas do Windows
- Kerberosting explora vulnerabilidades no Active Directory, permitindo que invasores quebrem senhas offline
- AES-SHA1 requer milhares de vezes mais recursos para quebrar do que RC4
A Microsoft vem trabalhando há mais de duas décadas para desativar o RC4, a chave de criptografia incorporada na autenticação do Windows.
A decisão segue-se a anos de abusos documentados, avisos repetidos de investigadores de segurança e várias violações de alto impacto relacionadas com a sua disponibilidade contínua.
O RC4 entrou no Windows em 2000 com o lançamento do Active Directory, onde se tornou a peça central da autenticação administrativa para redes corporativas.
Suporte principal e vulnerabilidades contínuas
O algoritmo do RC4 vazou em meados da década de 1990, e ataques práticos rapidamente minaram a confiança em sua segurança, mas o RC4 persistiu por anos em protocolos e plataformas convencionais.
Mesmo com a disponibilização de padrões mais robustos, os servidores Windows continuaram a aceitar e responder às solicitações baseadas em RC4 por padrão.
Em ambientes Windows, sua sobrevivência criou um caminho confiável que os invasores aprenderam a explorar continuamente.
A autenticação administrativa fraca baseada em RC4 tornou-se o Santo Graal dos hackers durante décadas, com os ataques mais prejudiciais relacionados ao RC4 em redes Windows envolvendo autenticação Kerberos.
Kerberos oferece suporte à verificação de identidade no Active Directory e é o principal alvo de invasores que buscam controle de ambientes inteiros.
O “Kerberoasting” explora como as credenciais das contas de serviço são protegidas, permitindo que invasores extraiam material criptografado e quebrem-no offline.
Embora o RC4 tenha identificado vulnerabilidades, a questão mais ampla é como o Windows foi implementado, já que as organizações que dependem de sistemas legados muitas vezes ignoram a importância do software antivírus para reduzir vias de ataque adicionais.
Conforme usado no Active Directory, o Kerberos depende de senhas sem sal e hashing MD4 de passagem única.
Em contraste, a implementação AES-SHA1 da Microsoft utiliza hashing repetido e resiste a ataques de força bruta de forma mais eficaz, exigindo muito mais tempo e recursos.
A proteção por firewall pode ajudar a limitar a exposição da sua rede a ataques como Kerberoasting, embora não possa substituir a necessidade de uma criptografia mais forte.
A Microsoft está vinculando a obsolescência a ferramentas para descobrir dependências ocultas.
As atualizações nos logs do Centro de Distribuição de Chaves registrarão solicitações e respostas baseadas em RC4, dando aos administradores visibilidade dos sistemas que ainda dependem da cifra.
Os novos scripts do PowerShell também analisarão logs de eventos de segurança para sinalizar padrões de uso problemáticos.
Estas medidas reconhecem que o RC4 permanece incorporado em alguns ambientes, muitas vezes ignorado pelos administradores de sistemas legados ou de terceiros.
Os processos rotineiros de remoção de malware continuam críticos para garantir que os sistemas comprometidos sejam limpos antes que novas proteções sejam implementadas.
A Microsoft acabará por remover o código desatualizado que causou danos há décadas, embora permita um período de transição.
Em meados de 2026, os controladores de domínio do Windows permitirão apenas AES-SHA1 por padrão, com RC4 desabilitado, a menos que os administradores o reativem especificamente.
A Microsoft diz que a remoção do RC4 foi complicada por décadas de código e regras de compatibilidade.
Com o tempo, mudanças incrementais aproximaram o uso de zero, reduzindo o risco de fratura extensa.
Através Técnica Ars
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
