Microsoft je objavio da će do sredine 2026. godine potpuno onemogućiti RC4 na domen-kontrolerima u sustavu Windows Server 2008 i novijima. Time se zatvara više od četvrt stoljeća duga ostavština korištenja algoritma koji je odavno proglašen nesigurnim, ali je unatoč tome ostao zadana opcija u poslovnim mrežama diljem svijeta.
RC4 (Rivest Cipher 4) kreirao je kriptograf Ron Rivest još 1987., a već 1994. iscurio je puni opis algoritma i pokazani su napadi koji ozbiljno narušavaju njegovu zaštitu. Unatoč tome, Microsoft ga je 2000. ugradio kao jedini mehanizam šifriranja u tada novom Active Directoryju. Iako su kasnije uvedeni napredniji standardi poput AES-a, Windows poslužitelji su zbog kompatibilnosti i dalje prihvaćali RC4 zahtjeve – što je napadačima otvorilo vrata za tehniku „Kerberoasting” i brojne kompromitacije mreža.
Jedan od najtežih incidenata dogodio se prošle godine kada je iskorištavanje RC4-a dovelo do proboja zdravstvenog diva Ascension. Napad je poremetio rad 140 bolnica i ugrozio medicinske podatke 5,6 milijuna pacijenata. Zbog sličnih događaja američki senator Ron Wyden je u rujnu prozvao Microsoft za „grubu kibernetičku nebrigu” i zatražio istragu savezne Komisije za trgovinu.
„RC4 će biti onemogućen po zadanom, a koristit će se samo ako ga administrator eksplicitno uključi”, najavio je glavni programski menadžer Matthew Palko. Nakon promjene, Kerberos Key Distribution Center na domen-kontrolerima prihvaćat će isključivo AES-SHA1, algoritam koji je u Windowsima prisutan još od Servera 2008 i koji klijenti ionako odavno koriste kao primarnu opciju.
Sigurnosni stručnjaci godinama su upozoravali da je RC4 među posljednjim široko rasprostranjenim „slabim karikama” u korporativnim okruženjima. Microsoftov potez stoga označava kraj jedne ere, ali i početak prijelaznog razdoblja tijekom kojeg će administratori morati provjeriti postoji li još koji zastarjeli servis ili skripta koja se oslanja na RC4 kako bi izbjegli prekide u radu.
Premda je AES-SHA1 trenutačno znatno sigurniji od RC4-a, kriptozajednica već gleda prema još robusnijim varijantama poput AES-SHA256. Najnovija odluka iz Redmonda, ipak, uklanja dugo kritizirani i dokazano opasni mehanizam te bi trebala značajno podići osnovnu razinu zaštite Windows okruženja u organizacijama diljem svijeta.