مايكروسوفت تقتل إيقاف تشفير تشفير قديم وضعيف يدعمه Windows افتراضيًا لمدة 26 عامًا. ويأتي ذلك بعد أكثر من عقد من الاختراقات المدمرة التي استغلتها، والانتقادات اللاذعة الأخيرة من عضو مجلس الشيوخ الأمريكي البارز.
عندما طرح صانع البرامج Active Directory في عام 2000، جعل من RC4 الوسيلة الوحيدة لتأمين مكون Windows، والذي يستخدمه المسؤولون لتكوين وتوفير حسابات المسؤولين والمستخدمين الزملاء داخل المؤسسات الكبيرة. إن RC4، وهو اختصار لـ Rivist Cipher 4، هو إشارة إلى عالم الرياضيات وأخصائي التشفير رون ريفست من شركة RSA Security، الذي طور تشفير التدفق في عام 1987. وفي غضون أيام من تسرب الخوارزمية المحمية بالأسرار التجارية في عام 1994، أظهر أحد الباحثين هجومًا مشفرًا أدى إلى إضعاف الأمان الذي كان يعتقد أنه يوفره بشكل كبير. على الرغم من قابلية التأثر المعروفة، ظل RC4 عنصرًا أساسيًا في بروتوكولات التشفير، بما في ذلك SSL وخليفته TLS، حتى ما يقرب من عقد من الزمن.
الخروج مع القديم
واحدة من أبرز المعوقات في دعم RC4 كانت Microsoft. في النهاية، قامت Microsoft بترقية Active Directory لدعم معيار تشفير AES الأكثر أمانًا. ولكن بشكل افتراضي، تستمر خوادم Windows في الاستجابة لطلبات المصادقة المستندة إلى RC4 وإرجاع الاستجابة المستندة إلى RC4. لقد كان البديل RC4 هو نقطة الضعف المفضلة التي استغلها المتسللون لاختراق شبكات المؤسسات. لعب استخدام RC4 دورًا رئيسيًا في اختراق شركة الصحة العملاقة Ascension العام الماضي. وتسبب الاختراق في حدوث اضطرابات تهدد الحياة في 140 مستشفى ووضع السجلات الطبية لـ 5.6 مليون مريض في أيدي المهاجمين. دعا السيناتور الأمريكي رون وايدن، وهو ديمقراطي من ولاية أوريغون، في سبتمبر/أيلول لجنة التجارة الفيدرالية إلى التحقيق مع شركة مايكروسوفت بسبب “الإهمال الجسيم في مجال الأمن السيبراني”، مشيراً إلى الدعم الافتراضي المستمر لـ RC4.
كتب ماثيو بالكو، مدير البرامج الرئيسي في Microsoft: “بحلول منتصف عام 2026، سنقوم بتحديث الإعدادات الافتراضية لوحدة التحكم بالمجال لمركز توزيع مفاتيح Kerberos (KDC) على Windows Server 2008 والإصدارات الأحدث للسماح فقط بتشفير AES-SHA1”. “سيتم تعطيل RC4 افتراضيًا ولن يُستخدم إلا إذا قام مسؤول المجال بتكوين حساب بشكل صريح أو قام مركز توزيع المفاتيح (KDC) باستخدامه.”
AES-SHA1، وهي خوارزمية يُعتقد على نطاق واسع أنها آمنة، متاحة في جميع إصدارات Windows المدعومة منذ طرح Windows Server 2008. ومنذ ذلك الحين، يتم مصادقة عملاء Windows افتراضيًا باستخدام المعيار الأكثر أمانًا، وتستجيب الخوادم باستخدام نفس المعيار. ولكن، تستجيب خوادم Windows، بشكل افتراضي أيضًا، لطلبات المصادقة المستندة إلى RC4 وتعيد استجابة تعتمد على RC4، مما يترك الشبكات مفتوحة لـ Kerberoasting.
بعد التغيير الذي سيتم إجراؤه في العام التالي، لن تعمل مصادقة RC4 ما لم يقم المسؤولون بالعمل الإضافي للسماح بذلك. وفي غضون ذلك، قال بالكو، من المهم أن يحدد المسؤولون أي أنظمة داخل شبكاتهم تعتمد على التشفير. على الرغم من الثغرات الأمنية المعروفة، يظل RC4 هو الوسيلة الوحيدة لبعض الأنظمة القديمة التابعة لجهات خارجية للمصادقة على شبكات Windows. غالبًا ما يتم تجاهل هذه الأنظمة في الشبكات على الرغم من أنها مطلوبة لوظائف حيوية.
