微軟即將淘汰一種過時且不安全的加密算法 RC4,該算法在 26 年來一直是 Windows 的默認使用方式。此決策是在多次利用 RC4 進行的網絡攻擊以及美國參議員 Ron Wyden 的批評之後做出的。
2000 年,微軟推出了 Active Directory,並將 RC4 作為保護該 Windows 組件的唯一方式。系統管理員在大型組織中使用 Active Directory 來配置和管理用戶賬戶。RC4 原本是由 RSA Security 的 Ron Rivest 於 1987 年開發的,旨在成為一種安全的算法。然而,自 1994 年算法洩露後,一位研究人員迅速發現一個漏洞,削弱了其原本預期的安全性。儘管如此,RC4 仍繼續用於加密協議,例如 SSL 和 TLS,直到最近幾年。
以舊換新
微軟一直是最後支持 RC4 的主要公司之一。最終,該公司更新了 Active Directory,加入了更安全的 AES 加密標準。然而,Windows 服務器仍默認接受基於 RC4 的身份驗證請求。這種退路使 RC4 成為黑客試圖入侵企業網絡的吸引目標。在一起著名的事件中,RC4 在針對健康巨頭 Ascension 的入侵中發揮了關鍵作用,導致 140 家醫院的生命威脅中斷,並洩露了 560 萬名患者的醫療記錄。9 月,美國參議員 Ron Wyden 敦促聯邦貿易委員會調查微軟,指控其由於持續默認支持 RC4 而造成『嚴重的網絡安全疏忽』。
上週,微軟宣布其決定逐步淘汰 RC4,承認其易受 Kerberoasting 等攻擊方法的攻擊。從 2014 年起被識別的 Kerberoasting 被確認為攻擊者最初滲透 Ascension 網絡的方法。