Microsoft đang loại bỏ một thuật toán mã hóa lỗi thời và dễ bị tấn công mà Windows đã hỗ trợ mặc định trong 26 năm qua, sau hơn một thập kỷ bị tấn công mạng gây thiệt hại nghiêm trọng và gần đây phải đối mặt với sự chỉ trích gay gắt từ một thượng nghị sĩ nổi tiếng của Mỹ.

Khi nhà sản xuất phần mềm tung ra Active Directory vào năm 2000, họ đã chọn RC4 làm phương pháp duy nhất để bảo mật thành phần Windows này, vốn được các quản trị viên sử dụng để cấu hình và cấp phát tài khoản quản trị viên và người dùng trong các tổ chức lớn. RC4, viết tắt của Rivest Cipher 4, là sự tri ân dành cho nhà toán học và nhà mật mã học Ron Rivest của RSA Security, người đã phát triển thuật toán mã hóa luồng này vào năm 1987. Chỉ vài ngày sau khi thuật toán được bảo vệ bí mật thương mại bị rò rỉ vào năm 1994, một nhà nghiên cứu đã chứng minh một cuộc tấn công mật mã làm suy yếu đáng kể tính bảo mật mà nó được cho là cung cấp. Mặc dù biết rõ điểm yếu của nó, RC4 vẫn là một thuật toán chủ lực trong các giao thức mã hóa, bao gồm SSL và phiên bản kế nhiệm TLS, cho đến khoảng một thập kỷ trước.

Loại bỏ những thứ cũ kỹ

Một trong những bên kiên quyết không hỗ trợ RC4 nhất chính là Microsoft. Cuối cùng, Microsoft đã nâng cấp Active Directory để hỗ trợ chuẩn mã hóa AES an toàn hơn nhiều. Nhưng theo mặc định, các máy chủ Windows vẫn tiếp tục phản hồi các yêu cầu xác thực dựa trên RC4 và trả về phản hồi cũng dựa trên RC4. Cơ chế dự phòng RC4 là một điểm yếu ưa thích mà tin tặc đã khai thác để xâm nhập mạng lưới doanh nghiệp. Việc sử dụng RC4 đóng vai trò quan trọng trong vụ tấn công mạng vào tập đoàn y tế Ascension năm ngoái. Vụ tấn công đã gây ra sự gián đoạn đe dọa đến tính mạng tại 140 bệnh viện và khiến hồ sơ y tế của 5,6 triệu bệnh nhân rơi vào tay kẻ tấn công. Thượng nghị sĩ Hoa Kỳ Ron Wyden (Đảng Dân chủ - Oregon) vào tháng 9 đã kêu gọi Ủy ban Thương mại Liên bang điều tra Microsoft vì "sự sơ suất nghiêm trọng về an ninh mạng", viện dẫn việc tiếp tục hỗ trợ RC4 theo mặc định.

Tuần trước, Microsoft cho biết họ cuối cùng đã ngừng hỗ trợ RC4 và viện dẫn lý do là tính dễ bị tổn thương của nó trước Kerberoasting, một hình thức tấn công đã được biết đến từ năm 2014, là nguyên nhân gốc rễ của vụ xâm nhập ban đầu vào mạng lưới của Ascension.

“Đến giữa năm 2026, chúng tôi sẽ cập nhật các thiết lập mặc định của bộ điều khiển miền cho Trung tâm phân phối khóa Kerberos (KDC) trên Windows Server 2008 trở lên để chỉ cho phép mã hóa AES-SHA1,” Matthew Palko, quản lý chương trình chính của Microsoft, cho biết. “RC4 sẽ bị vô hiệu hóa theo mặc định và chỉ được sử dụng nếu quản trị viên miền cấu hình rõ ràng tài khoản hoặc KDC để sử dụng nó.”

AES-SHA1, một thuật toán được cho là an toàn, đã có sẵn trong tất cả các phiên bản Windows được hỗ trợ kể từ khi Windows Server 2008 ra mắt. Kể từ đó, các máy khách Windows mặc định xác thực bằng tiêu chuẩn an toàn hơn nhiều này, và các máy chủ cũng phản hồi bằng tiêu chuẩn tương tự. Tuy nhiên, các máy chủ Windows, cũng theo mặc định, phản hồi các yêu cầu xác thực dựa trên RC4 và trả về phản hồi dựa trên RC4, khiến mạng dễ bị tấn công Kerberoasting.

Sau thay đổi vào năm tới, xác thực RC4 sẽ không còn hoạt động trừ khi quản trị viên thực hiện thêm các thao tác để cho phép nó. Trong thời gian chờ đợi, Palko cho biết, điều quan trọng là các quản trị viên phải xác định bất kỳ hệ thống nào trong mạng của họ dựa vào thuật toán mã hóa này. Mặc dù có những lỗ hổng đã biết, RC4 vẫn là phương thức duy nhất mà một số hệ thống cũ của bên thứ ba sử dụng để xác thực với mạng Windows. Những hệ thống này thường bị bỏ qua trong mạng mặc dù chúng cần thiết cho các chức năng quan trọng.

Để đơn giản hóa việc xác định các hệ thống như vậy, Microsoft đang cung cấp một số công cụ. Một trong số đó là bản cập nhật nhật ký KDC sẽ theo dõi cả yêu cầu và phản hồi mà các hệ thống thực hiện bằng RC4 khi thực hiện các yêu cầu thông qua Kerberos. Kerberos là một giao thức xác thực được sử dụng rộng rãi trong ngành để xác minh danh tính của người dùng và dịch vụ trên mạng không an toàn. Đây là phương tiện duy nhất để xác thực lẫn nhau với Active Directory, mà các hacker tấn công mạng Windows coi là "chén thánh" vì quyền kiểm soát mà chúng có được một khi đã bị xâm phạm.

Microsoft cũng đang giới thiệu các tập lệnh PowerShell mới để sàng lọc nhật ký sự kiện bảo mật nhằm dễ dàng hơn trong việc xác định việc sử dụng RC4 có vấn đề.