Microsoft, 2026’ya Kadar Kerberos’ta RC4’ü Kaldıracak

Teknoloji devi yakın zamanda Windows Kerberos’ta RC4’ü varsayılan olarak devre dışı bırakma planlarını duyurdu; bu, etki alanı denetleyicilerinin kurumsal ve devlet ağlarındaki kullanıcıların ve hizmetlerin kimliğini doğrulama şeklini doğrudan etkileyecek bir değişiklik. Microsoft’a göre güncellemenin aşamalı olarak yayınlanması ve operatörlere kalıcı bağımlılıklarını belirlemeleri ve düzeltmeleri için zaman tanınması bekleniyor.

Şirketin ana program yöneticisi Matthew Palko, Microsoft’un 2026’nın ortalarına doğru Windows Server 2008 ve sonraki sürümlerde Kerberos anahtar dağıtım merkezinin varsayılan ayarlarını yalnızca daha güçlü AES-SHA1 şifrelemesine izin verecek şekilde güncelleyeceğini yazdı. RC4 varsayılan olarak kapalı olacak ve yalnızca etki alanı yöneticisinin bir hesabı veya KDC’yi buna izin verecek şekilde açıkça yapılandırması durumunda kullanılacaktır.

Analistler, bu hareketin Microsoft’un yıllardır yaptığı en önemli kriptografik temizlemelerden birine işaret ettiğini söyledi. RC4’ün uzun süredir eski olduğu düşünülüyordu, ancak büyük ölçüde uyumluluk nedenleriyle, özellikle de eski sistemlerin veya hizmet hesaplarının sessizce daha zayıf şifrelemeye dayandığı eski alanlarda etkin durumda kaldı.

ETH Zürih’te bilgi güvenliği profesörü Kenneth Paterson, eski şifreleme algoritmalarının genellikle güvenilir oldukları için değil, modernleştirilmesi çok zor veya maliyetli olan eski yazılım yığınlarına gömüldükleri için varlığını sürdürdüğünü söyledi.

Paterson, genellikle “kemikleşme” olarak tanımlanan olgunun, sistemlerin yeni güvenlik veya operasyonel riskler getirmeden eski algoritmalardan kontrollü bir şekilde uzaklaşma yeteneği olan kripto çevikliğinin artan önemini vurguladığını söyledi. RC4’ün zayıf yönleri iyi bir şekilde belgelenmiş olsa da, onu ortadan kaldırmanın tehdit manzarasını kendi başına, özellikle de daha önce konuşlandırılmadığı veya istismar edilemediği ortamların dışında dramatik bir şekilde değiştirmesinin pek mümkün olmadığını ekledi.

Güvenlik ekipleri yıllardır eski şifrelemenin, daha güçlü seçeneklerin mevcut olmaması veya yanlış yapılandırılması durumunda Kerberos’un daha zayıf şifreleme türleriyle anlaşabileceği Active Directory ortamlarında eşit olmayan savunmalar oluşturduğu konusunda uyarıyordu. Bu tutarsızlıklar, kimlik altyapısını hedef alan saldırganlar tarafından defalarca istismar edilmiştir (bkz.: Fidye Yazılımı Bilgisayar Korsanları Active Directory Etki Alanı Denetleyicilerini Hedef Alıyor).

Analistler Information Security Media Group’a RC4’ün Kerberos’ta devam eden varlığının özellikle büyük Windows etki alanlarında sorun yarattığını söyledi; burada hizmet hesapları, güven ilişkileri veya unutulmuş yapılandırmalar sessizce daha zayıf şifrelemeye geri dönebilir. Saldırganlar daha güçlü kontrolleri doğrudan yenmeye çalışmak yerine bu zayıf noktaları araştırmayı öğrendiler.

Gerçek dünyadaki izinsiz girişlerde tehdit aktörleri, hizmet hesabı şifrelerini çevrimdışı olarak kırmak ve ağlar arasında yanal olarak hareket etmek için RC4 özellikli Kerberos akışlarını kullandı; bu sırada genellikle tespitten kaçarken ve uç nokta veya çevre savunmalarına bağlı uyarıları tetiklemeden. Bu teknikler, saldırganın odağını birincil hedef olarak kimlik sistemlerine kaydırmaya yardımcı oldu (bkz.: Active Directory’nin 25 Yıllık Mirası Neden Bir Güvenlik Sorunudur?).

Microsoft, ani kesintileri önlemek için yöneticilerin RC4’ü sınırlı senaryolarda yeniden etkinleştirmesine izin verecek; ancak analistler, kuruluşların bunları geçici bir köprü yerine bir güvenlik ağı olarak görmesi durumunda istisnaların hızla kalıcı hale gelebileceği konusunda uyarıyor.