Microsoft öldürüyor Windows’un 26 yıldır varsayılan olarak desteklediği eski ve savunmasız bir şifreleme şifresini devre dışı bırakın. Bu, on yılı aşkın bir süre boyunca onu istismar eden yıkıcı saldırıların ve yakın zamanda önde gelen bir ABD senatörünün şiddetli eleştirilerinin ardından geldi.
Yazılım üreticisi 2000 yılında Active Directory’yi piyasaya sürdüğünde, RC4’ü, yöneticilerin büyük kuruluşlardaki diğer yönetici ve kullanıcı hesaplarını yapılandırmak ve sağlamak için kullandığı Windows bileşeninin güvenliğini sağlamanın tek yolu haline getirdi. Rivist Cipher 4’ün kısaltması olan RC4, 1987’de akış şifresini geliştiren RSA Security’den matematikçi ve kriptograf Ron Rivest’e bir göndermedir. Ticari sırlarla korunan algoritmanın 1994’te sızdırılmasından birkaç gün sonra, bir araştırmacı sağladığına inanılan güvenliği önemli ölçüde zayıflatan bir kriptografik saldırıyı gösterdi. Bilinen duyarlılığına rağmen RC4, yaklaşık on yıl öncesine kadar SSL ve onun halefi TLS de dahil olmak üzere şifreleme protokollerinin temelini oluşturuyordu.
Eskilerle Dışarıda
RC4’ü destekleme konusunda en görünür engellerden biri Microsoft oldu. Sonunda Microsoft, Active Directory’yi çok daha güvenli AES şifreleme standardını destekleyecek şekilde yükseltti. Ancak varsayılan olarak Windows sunucuları RC4 tabanlı kimlik doğrulama isteklerine yanıt vermeye ve RC4 tabanlı bir yanıt döndürmeye devam etmiştir. RC4 geri dönüşü, bilgisayar korsanlarının kurumsal ağları tehlikeye atmak için kullandığı favori bir zayıflık oldu. Geçen yıl sağlık devi Ascension’ın ihlalinde RC4 kullanımı önemli bir rol oynadı. İhlal, 140 hastanede hayati tehlike oluşturan aksamalara neden oldu ve 5,6 milyon hastanın tıbbi kayıtları saldırganların eline geçti. Oregon Demokratı olan ABD senatörü Ron Wyden, Eylül ayında Federal Ticaret Komisyonu’nu, RC4’e yönelik varsayılan desteğin devam ettiğini öne sürerek Microsoft’u “ağır siber güvenlik ihmali” nedeniyle soruşturmaya çağırdı.
Microsoft ana program yöneticisi Matthew Palko, “2026’nın ortalarına doğru, Windows Server 2008 ve sonraki sürümlerde Kerberos Anahtar Dağıtım Merkezi (KDC) için etki alanı denetleyicisi varsayılanlarını yalnızca AES-SHA1 şifrelemesine izin verecek şekilde güncelleyeceğiz” diye yazdı. “RC4 varsayılan olarak devre dışı bırakılacak ve yalnızca etki alanı yöneticisinin bir hesabı veya KDC’yi bunu kullanacak şekilde açıkça yapılandırması durumunda kullanılacaktır.”
Yaygın olarak güvenli olduğuna inanılan bir algoritma olan AES-SHA1, Windows Server 2008’in piyasaya sürülmesinden bu yana desteklenen tüm Windows sürümlerinde mevcuttur. O zamandan bu yana, Windows istemcilerinin kimliği varsayılan olarak çok daha güvenli bir standart kullanılarak doğrulandı ve sunucular da aynısını kullanarak yanıt verdi. Ancak Windows sunucuları da varsayılan olarak RC4 tabanlı kimlik doğrulama isteklerine yanıt verir ve RC4 tabanlı bir yanıt vererek ağları Kerberoasting’e açık bırakır.
Gelecek yılki değişikliğin ardından, yöneticiler buna izin vermek için ekstra çalışma yapmadığı sürece RC4 kimlik doğrulaması artık çalışmayacaktır. Bu arada Palko, yöneticilerin ağlarında şifreye dayanan sistemleri tanımlamasının çok önemli olduğunu söyledi. Bilinen güvenlik açıklarına rağmen RC4, bazı üçüncü taraf eski sistemlerin Windows ağlarında kimlik doğrulaması için kullandığı tek araç olmaya devam ediyor. Bu sistemler, önemli işlevler için gerekli olmalarına rağmen ağlarda sıklıkla gözden kaçabilmektedir.