Древен код от 1987 година изложи на риск 5,6 милиона души и постави Microsoft под прицела на властите
RC4 оцеля в ерата на модемите, само че се трансформира във врата за рансъмуера към най-голямата мрежа за здравна мрежа в Съединени американски щати.
Американският сенатор Рон Уайдън изпрати писмо до Федералната комерсиална комисия (FTC) с искане за следствие на Microsoft, обвинявайки компанията в „ груба немарливост “ в региона на киберсигурността. Причината е потреблението на остарелия и нерешителен логаритъм за криптиране RC4 в Windows, който към момента е логаритъмът за криптиране по дифолт за Active Directory. Според следствието, извършено от офиса на сенатора, точно тази функционалност е изиграла основна роля в масираната офанзива против Ascension Medical Corporation през 2024 година, довела до компрометиране на данните на 5,6 милиона пациенти.
Уайдън акцентира, че заради „ рискови инженерни решения “ нападателят се нуждае единствено от един инфектиран преносим компютър на някой чиновник, с цел да внедри рансъмуер в хилядите системи посредством Active Directory. В случая с Ascension първичната точка на влизане е било устройство на контрагент, от което е било осъществено търсене в Bing посредством Microsoft Edge. След като са получили достъпа, хакерите са употребявали техники на kerberoasting, с цел да получат посредством метода на грубата мощ паролите на привилегированите сметки и да продължат да популяризират рансъмуера в цялата мрежа.
RC4, основан през 1987 година от Рон Ривест, от дълго време е приет за уязвим: логаритъмът е разрушен още през 1994 година и от този момент неведнъж е бил сполучливо нападнат. Той е изведен от приложимост в множеството информационни протоколи, само че в Active Directory остава главният механизъм при удостоверяването в Kerberos. Въпреки съществуването на вградени по-нови и модерни логаритми доста организации не престават да работят с конфигурацията по дифолт. Тази настройка разрешава на нападателите да изискват от Kerberos сървъра криптираните с ключова дума ключове, които могат да бъдат изведени отвън мрежата и декриптирани благодарение на мощни графични процесори. Поради неналичието на спомагателни знаци към паролите (сол) и неизползването на итерации в MD4 хеша, атакуващият е в положение да ревизира милиарди разновидности в секунда.
Криптографът от университета „ Джон Хопкинс “ Мат Грийн дефинира архитектурата на Kerberos с RC4 като „ неточност, която е трябвало да бъде отстранена още преди десетилетия “. Той означи, че даже дългите пароли, които официално дават отговор на рекомендациите, не избавят от потреблението на метода на грубата мощ, когато се употребява сходна скица.
Допълнителен рисков фактор е необятно публикуваното погрешно настройване на Active Directory, при което елементарните консуматори получават достъп до функционалности, предопределени за админите. Това трансформира описания kerberoasting способ в още по-лесен метод за офанзива.
Microsoft отговори, като съобщи, че потреблението на RC4 съставлява по-малко от 0,1% от трафика и компанията изрично не предлага потреблението на този логаритъм, за което публично оповестява в своя уебсайт. В същото време корпорацията призна, че цялостното прекъсване ще докара до нетрудоспособност за редица клиенти, по тази причина се възнамерява отводът от RC4 да бъде еволюционен. Според Microsoft през първото тримесечие на 2026 година новите конфигурации на домейните с Active Directory, основани на Windows Server 2025, въобще няма да поддържат RC4. За съществуващите системи се приготвят спомагателни ограничения, които би трябвало да сведат до най-малко рисковете, като в същото време се резервира съвместимостта.
Уайдън обаче счита, че компанията съзнателно прикрива риска, като се лимитира до неугледни механически изявления в своите блогове, вместо да предизвестява категорично корпоративните клиенти. Той също по този начин разкритикува бизнес модела на Microsoft, при който главният програмен продукт остава уязвим, а спомагателните услуги за киберзащита се продават настрана. Според него това припомня на обстановка, в която „ подпалвач продава противопожарни услуги на жертвите си “. Експертите предлагат на организациите да следват най-хубавите практики за сигурност на сметките за услугите на Active Directory.
От своя страна Microsoft декларира, че е в разговор със сенатора и е подготвена да сътрудничи на държавните организации, като акцентира, че пътната карта за отвод от RC4 към този момент е утвърдена.
