Microsoft esta matando de un cifrado de cifrado obsoleto y weak que Home windows ha admitido de forma predeterminada durante 26 años. Esto sigue a más de una década de ataques devastadores que lo explotaron y a las recientes críticas abrasadoras de un destacado senador estadounidense.
Cuando el fabricante de software program lanzó Energetic Listing en 2000, convirtió a RC4 en un único medio para proteger el componente de Home windows, que los administradores utilizan para configurar y aprovisionar cuentas de otros administradores y usuarios dentro de grandes organizaciones. RC4, abreviatura de Rivist Cipher 4, es un guiño al matemático y criptógrafo Ron Rivest de RSA Safety, quien desarrolló el cifrado de flujo en 1987. A los pocos días de que se filtrara el algoritmo protegido como secreto comercial en 1994, un investigador demostró un ataque criptográfico que debilitó significativamente la seguridad que se creía que proporcionaba. A pesar de la conocida susceptibilidad, RC4 siguió siendo un elemento básico en los protocolos de cifrado, incluido SSL y su sucesor TLS, hasta hace aproximadamente una década.
Fuera lo viejo
Uno de los obstáculos más visibles en el apoyo a RC4 ha sido Microsoft. Finalmente, Microsoft actualizó Energetic Listing para admitir el estándar de cifrado AES, mucho más seguro. Pero de forma predeterminada, los servidores de Home windows han seguido respondiendo a las solicitudes de autenticación basadas en RC4 y devolviendo una respuesta basada en RC4. El respaldo RC4 ha sido una de las debilidades favoritas que los piratas informáticos han aprovechado para comprometer las redes empresariales. El uso de RC4 jugó un papel importante papel clave en la violación del año pasado del gigante de la salud Ascension. La infracción provocó perturbaciones que pusieron en peligro la vida de 140 hospitales y puso los registros médicos de 5,6 millones de pacientes en manos de los atacantes. El senador estadounidense Ron Wyden, demócrata de Oregón, en septiembre pidió a la Comisión Federal de Comercio que investigue a Microsoft por “negligencia grave en materia de ciberseguridad”, citando el continuo soporte predeterminado para RC4.
“A mediados de 2026, actualizaremos los valores predeterminados del controlador de dominio para el Centro de distribución de claves Kerberos (KDC) en Home windows Server 2008 y posteriores para permitir solo el cifrado AES-SHA1”, escribió Matthew Palko, director principal de programas de Microsoft. “RC4 se deshabilitará de forma predeterminada y solo se usará si un administrador de dominio configura explícitamente una cuenta o el KDC para usarlo”.
AES-SHA1, un algoritmo ampliamente considerado seguro, ha estado disponible en todas las versiones compatibles de Home windows desde el lanzamiento de Home windows Server 2008. Desde entonces, los clientes de Home windows se autenticaron de forma predeterminada utilizando el estándar mucho más seguro y los servidores respondieron utilizando el mismo. Pero los servidores de Home windows, también de forma predeterminada, responden a las solicitudes de autenticación basadas en RC4 y devuelven una respuesta basada en RC4, dejando las redes abiertas a Kerberoasting.
Tras el cambio del próximo año, la autenticación RC4 ya no funcionará a menos que los administradores realicen el trabajo adicional para permitirla. Mientras tanto, dijo Palko, es essential que los administradores identifiquen cualquier sistema dentro de sus redes que dependa del cifrado. A pesar de las vulnerabilidades conocidas, RC4 sigue siendo el único medio de algunos sistemas heredados de terceros para autenticarse en redes Home windows. Estos sistemas a menudo pueden pasar desapercibidos en las redes a pesar de que son necesarios para funciones cruciales.
