Microsoft окончательно прощается с RC4: эпоха уязвимого шифра в Windows подходит к концу

Корпорация Microsoft объявила о планах окончательного отключения устаревшего шифра RC4, который оставался одним из ключевых алгоритмов проверки подлинности в корпоративных сетях Windows на протяжении более двадцати лет. Решение принято после многочисленных инцидентов безопасности, публикаций уязвимостей и постоянных рекомендаций экспертного сообщества по отказу от устаревающих стандартов.

История RC4 в семействах Windows началась с появлением Active Directory в 2000 году. Именно тогда этот алгоритм стал основой административной аутентификации и закрепился в многочисленных протоколах. Даже когда появились более совершенные и стойкие решения, в частности усовершенствованные стандарты шифрования, Windows-домены по умолчанию продолжали поддерживать RC4, что позволило злоумышленникам использовать уязвимость для понижения версии шифрования.

Долгое сохранение RC4 обеспечило хакерам комфортный путь для атак на инфраструктуру компаний. Слабые места аутентификации, базирующиеся на RC4, активно эксплуатировались различными группировками — от целенаправленных атак до массовых проникновений через Kerberos, обеспечивающий проверку учетных данных в Active Directory. Именно механизм Kerberoasting получил широкую популярность: он позволял злоумышленникам в автоматическом режиме извлекать защищённые сессии сервисных учётных записей, а затем подбирать пароли оффлайн, оставаясь невидимыми для средств мониторинга безопасности.

Несмотря на все недостатки RC4, одной из наибольших угроз стали не столько слабости самого алгоритма, сколько особенности его внедрения в инфраструктуре Windows. Во многих компаниях, где присутствуют устаревшие или забытые сервисы, к шифрованию по-прежнему можно получить доступ, что существенно упрощает работу атакующих. И хотя современные реализации вроде AES-SHA1 требуют в тысячи раз больше вычислительных ресурсов для взлома, сохранение устаревшей схемы до сих пор обеспечивает лазейки, которыми не гнушаются воспользоваться киберпреступники.

Для минимизации угроз Microsoft вводит дополнительные меры: обновлённые PowerShell-скрипты позволят анализировать журналы безопасности на предмет подозрительной активности, а также определять устаревшие сценарии обращения к RC4. В логи Центра распространения ключей теперь будут фиксироваться все аутентификационные запросы, использующие небезопасный алгоритм, чтобы системные администраторы могли оперативно выявлять забытые или архаичные сервисы.

Отключение RC4 будет происходить поэтапно. К середине 2026 года все контроллеры домена Windows должны будут по умолчанию применять только AES-SHA1, а возможность работы с RC4 останется лишь при явном её включении администратором. Компания подчёркивает, что полный отказ от RC4 оказался задачей не из лёгких, ведь за годы он настолько плотно интегрировался в код и корпоративные процессы, что его деактивация требует осторожности.

Впрочем, благодаря постепенному вытеснению RC4 из корпоративных сред масштабных сбоев удастся избежать, а устаревшие сценарии будут поэтапно выявляться и устраняться, снижая риски крупных инцидентов. Специалисты рекомендуют не только следить за обновлениями систем, но и проводить регулярную проверку на наличие угроз и вредоносных внедрений, чтобы исключить повторное использование RC4 до полного перехода на современные и защищённые алгоритмы. Евгений Ивченко