Компанія Microsoft оголосила про завершення підтримки застарілого шифру RC4, який вже понад 26 років використовувався у Windows. Це рішення стало відповіддю на численні кризи безпеки, пов’язані з цим шифром, які тривали більше десятка років. Зокрема, відомий сенатор США Рон Уайден закликав до розслідування дій Microsoft через “грубу недбалість у кібербезпеці”.
RC4, розроблений Роном Рівестом у 1987 році, став основним методом шифрування для Active Directory, впровадженого Microsoft у 2000 році. Проте вже через кілька днів після витоку алгоритму у 1994 році, дослідники виявили його уразливість. Незважаючи на це, RC4 залишався популярним у протоколах шифрування, таких як SSL і TLS, до приблизно 2014 року.
Останнім часом Microsoft оновила Active Directory, щоб підтримувати більш безпечний стандарт шифрування AES. Але Windows-сервери все ще приймали запити на автентифікацію за допомогою RC4. Ця уразливість була використана хакерами, зокрема під час зламу медичної компанії Ascension, що призвело до серйозних проблем у 140 лікарнях і витоку даних 5.6 мільйона пацієнтів. У вересні 2022 року сенатор Уайден підкреслив, що підтримка RC4 сприяла цим інцидентам.
На минулому тижні Microsoft підтвердила, що нарешті відмовляється від RC4, посилаючись на його вразливість до атаки Kerberoasting, яка стала відомою ще у 2014 році.