- A Microsoft vai desativar, por padrão, o RC4 nos controladores de domínio até meio de 2026, deixando o AES-SHA1 como padrão; RC4 ainda respondia a solicitações de autenticação Kerberos em servidores Windows por padrão.
- RC4 é considerado vulnerável há décadas, sofreu leaks em 1994 e esteve ligado a várias falhas de segurança e a invasões, incluindo a de Ascension no ano passado.
- O RC4 foi o único meio de segurança do Active Directory desde 2000; a empresa já havia migrado para AES, mas a configuração padrão ainda aceitava autenticações RC4.
- A Microsoft oferece ferramentas para identificar usos de RC4: atualizações nos logs do KDC e novos scripts do PowerShell para filtrar eventos de RC4.
- O senador Ron Wyden pediu à Federal Trade Commission uma investigação sobre a suposta negligência em cibersegurança; a empresa informou a mudança prevista e que a desativação por padrão ocorrerá assim que possível.
Microsoft encerra oficialmente um cifrador obsoleto e vulnerável que o Windows mantinha como padrão há 26 anos. a medida segue ataques graves que exploraram a falha ao longo de mais de uma década e críticas de um senador americano.
A mudança impacta o Active Directory, serviço usado para gerenciar contas de administradores e usuários em grandes organizações. RC4, criado por Ron Rivest, ganhou fama por sua fragilidade já comprovada desde 1994, mas permaneceu ativo na autenticação por padrão.
Em 2026, as defaults do Kerberos KDC no Windows Server 2008 e versões posteriores passarão a permitir apenas criptografia AES-SHA1. RC4 ficará desativado por padrão, salvo se um administrador decidir configurá-lo explicitamente.
A transição ocorre depois de críticas de autoridades e de incidentes de segurança. O uso do RC4 esteve ligado a violação da rede de Ascension, que afetou 140 hospitais e dados de 5,6 milhões de pacientes.
Para facilitar a identificação de sistemas legados que ainda dependem do RC4, a Microsoft disponibiliza novas ferramentas. Entre elas, logs atualizados do KDC e scripts PowerShell para extrair uso problemático do RC4 em logs de segurança.
A Microsoft ressalta que, embora o RC4 seja vulnerável, a mudança visa reduzir brechas sem interromper funções essenciais. A empresa acredita que, ao ampliar AES-SHA1, o tempo de ataque de invasores fica consideravelmente maior.
Especialistas enfatizam que, mesmo com a desativação, alguns sistemas de terceiros ainda dependem de RC4. Administradores são orientados a auditar redes e preparar a migração para criptografia mais segura.
Entre na conversa da comunidade