MADRI 16 dez. (Portaltic/EP) -
A Microsoft retirará a criptografia RC4 do protocolo de autenticação do Windows Kerberos em meados de 2026, uma decisão que visa melhorar a segurança, já que ela se tornou alvo de ataques que buscam roubar as credenciais dos usuários.
O RC4 (Rivest Cipher 4) foi introduzido no Windows Server 2008, a variante de servidor do Windows, como um algoritmo de cifra de fluxo simples e fácil de implementar que tem sido usado em comunicações sem fio WEP e WAP e no protocolo TLS/SSL (Transport Layer Security) para transferência de dados.
É considerada uma cifra popular, mas carece de segurança robusta e tem sido alvo de ataques cibernéticos, como Beast e Kerberoasting, que buscam roubar credenciais de acesso ao sistema e comprometer as redes.
Por esse motivo, 17 anos após sua implementação, a Microsoft decidiu removê-la do Kerberos, o protocolo de autenticação usado no Windows Server para verificar a identidade de um usuário ou host, conforme relatado em um comunicado.
Isso acontecerá em meados de 2026 e, após uma atualização, o Centro de Distribuição de Chaves (KDC) do Kerberos no Windows Server 2008 suportará apenas o AES-SHA1, uma cifra de bloco simétrico mais moderna e segura que usa dois algoritmos: um simétrico para confidencialidade de dados e uma função de hash unidirecional para integridade e autenticação,
O RC4 permaneceu em uso no Windows por causa do Active Directory (AD), o serviço de diretório da empresa de tecnologia que armazena informações sobre objetos (usuários, computadores ou grupos) em uma rede distribuída para gerenciar logins de computadores e políticas de toda a rede.
Nesse meio tempo, o RC4 se tornou a única criptografia compatível com o AD por padrão. No entanto, a Microsoft vem trabalhando para fortalecer a segurança do AD há vários anos.
Esta notícia foi traduzida por um tradutor automático