Végzetes következmények: egészségügy és felelősségvállalás
A gyenge RC4 továbbra is aktív szerepet játszott az egyik legsúlyosabb kibertámadásban 2023-ban: ekkor a hackerek áttörték a hatalmas amerikai egészségügyi vállalat, az Ascension, hálózatát, és ezzel több mint 5,6 millió beteg adatához fértek hozzá. Az ellátás 140 kórházban akadozott, betegéletek kerültek veszélybe. Ezt követően Ron Wyden szenátor hivatalos vizsgálatot sürgetett a Microsoft állítólagos felelőtlen kiberbiztonsági gyakorlatai miatt – egészen pontosan azt kritizálva, hogy a vállalat miért nem cserélte le már korábban egy ilyen súlyosan sebezhető titkosítást.
Az utolsó RC4-napok: mi változik?
A Microsoft bejelentette, hogy 2026 közepétől leállítja az RC4 támogatását a Windows Server 2008 és újabb szervereken, és csak az AES-SHA1 algoritmust engedélyezi alapértelmezés szerint a Kerberos Key Distribution Centerben. Az RC4 csak abban az esetben marad elérhető, ha azt a rendszergazdák kifejezetten bekapcsolják valamely fióknál, vagy magánál a KDC-nél.
Az AES-SHA1, amely minden támogatott Windows-verzióban elérhető 2008 óta, jelentősen erősebben védi a hitelesítést. Ettől függetlenül a Windows-szerverek eddig alapból fogadtak RC4-alapú hitelesítési kérelmeket is, így a hálózat továbbra is támadható maradt a Kerberoasting nevű ismert módszerrel – ez könnyedén kinyerhetővé teszi az adminisztrátori hitelesítő adatokat az Active Directory környezetben.
Felkészülés: hogyan találhatók meg a gyenge láncszemek?
Mivel sok elavult, harmadik féltől származó rendszer továbbra is kizárólag RC4-et használ hitelesítéshez, a Microsoft most több eszközt is elérhetővé tesz: a Kerberos-naplózás frissítésével már könnyebben nyomon követhető, hol és mikor zajlanak RC4-alapú kérések vagy válaszok. Ezt kiegészítik új PowerShell-szkriptek, melyek segítenek a biztonsági eseménynaplók átvizsgálásában, így a rendszergazdák könnyebben beazonosíthatják a kockázatos helyeket.
Miért ilyen nehéz elbúcsúzni az RC4-től?
A kulcs a részletekben rejlett: az RC4 minden, az elmúlt 25 évben kiadott Windows-verzióban jelen volt, sőt, hosszú ideig alapértelmezettként működött. Az algoritmus alkalmazása közben ráadásul húsz éven keresztül rengeteg fejlesztés, hibajavítás történt. Egy időben a fejlesztők úgy hitték, már sikerült teljesen visszaszorítani az RC4 használatát, hiszen a felmérések alapján az ilyen hitelesítési kérések száma elenyésző lett – ez tette lehetővé a most meghirdetett végső „kivégzést” anélkül, hogy a többség számára problémát okozna.
Mindezek dacára a Kerberoasting támadási módszer nem is közvetlenül az RC4 gyengeségét használja ki, hanem a Windows Active Directory gyakorlatát, miszerint a jelszavakat sózás nélkül, mindössze egyetlen MD4-hashsel kezelték – így a támadóknak sokkal könnyebb dolguk volt. Az AES-SHA1 ezzel szemben lassabb, többszörös iteráción alapul, így az ilyen módon tárolt jelszavak feltörése mintegy ezerszer annyi erőforrást és időt igényel.
Munka az utolsó RC4-nyomok felkutatásáért
Noha az RC4 lassan eltűnik a Windows világából, a rendszergazdáknak érdemes alaposan átvizsgálniuk hálózataikat. Az RC4 széles körű elterjedtsége miatt még ma is meglepetést okozhat, hogy egy-egy régi rendszer vagy folyamat titokban még mindig ezt a teljesen elavult titkosítást használja, ezzel továbbra is kockázatot jelentve mindenkire, aki ezeknek a rendszereknek a védelméért felel.
