Microsoft sedang membunuh dari sandi enkripsi usang dan rentan yang telah didukung Windows secara default selama 26 tahun. Hal ini terjadi setelah lebih dari satu dekade peretasan dahsyat yang mengeksploitasinya dan kritik pedas baru-baru ini dari seorang senator terkemuka AS.
Ketika pembuat perangkat lunak meluncurkan Active Directory pada tahun 2000, mereka menjadikan RC4 sebagai satu-satunya cara untuk mengamankan komponen Windows, yang digunakan administrator untuk mengkonfigurasi dan menyediakan sesama administrator dan akun pengguna di dalam organisasi besar. RC4, kependekan dari Rivist Cipher 4, mengacu pada matematikawan dan kriptografer Ron Rivest dari RSA Security, yang mengembangkan stream cipher pada tahun 1987. Dalam beberapa hari setelah algoritme yang dilindungi rahasia dagang tersebut bocor pada tahun 1994, seorang peneliti mendemonstrasikan serangan kriptografi yang secara signifikan melemahkan keamanan yang diyakini diberikannya. Meskipun diketahui rentan, RC4 tetap menjadi bahan pokok dalam protokol enkripsi, termasuk SSL dan penggantinya TLS, hingga sekitar satu dekade lalu.
Keluar Dengan Yang Lama
Salah satu pihak yang paling menonjol dalam mendukung RC4 adalah Microsoft. Akhirnya, Microsoft meningkatkan Direktori Aktif untuk mendukung standar enkripsi AES yang jauh lebih aman. Namun secara default, server Windows terus merespons permintaan autentikasi berbasis RC4 dan mengembalikan respons berbasis RC4. Penggantian RC4 telah menjadi kelemahan favorit yang dieksploitasi peretas untuk menyusupi jaringan perusahaan. Penggunaan RC4 dimainkan a peran kunci dalam pelanggaran tahun lalu terhadap raksasa kesehatan Ascension. Pelanggaran tersebut menyebabkan gangguan yang mengancam jiwa di 140 rumah sakit dan menyerahkan catatan medis 5,6 juta pasien ke tangan para penyerang. Senator AS Ron Wyden, seorang Demokrat Oregon, pada bulan September meminta Komisi Perdagangan Federal untuk menyelidiki Microsoft atas “kelalaian besar dalam keamanan siber,” dengan alasan berlanjutnya dukungan default untuk RC4.
“Pada pertengahan tahun 2026, kami akan memperbarui default pengontrol domain untuk Kerberos Key Distribution Center (KDC) di Windows Server 2008 dan yang lebih baru untuk hanya mengizinkan enkripsi AES-SHA1,” tulis Matthew Palko, manajer program utama Microsoft. “RC4 akan dinonaktifkan secara default dan hanya digunakan jika administrator domain secara eksplisit mengonfigurasi akun atau KDC untuk menggunakannya.”
AES-SHA1, sebuah algoritme yang diyakini aman secara luas, telah tersedia di semua versi Windows yang didukung sejak peluncuran Windows Server 2008. Sejak itu, klien Windows secara default diautentikasi menggunakan standar yang jauh lebih aman, dan server merespons dengan menggunakan standar yang sama. Namun, server Windows, juga secara default, merespons permintaan autentikasi berbasis RC4 dan mengembalikan respons berbasis RC4, sehingga jaringan terbuka untuk Kerberoasting.
Setelah perubahan tahun depan, otentikasi RC4 tidak akan berfungsi lagi kecuali administrator melakukan pekerjaan ekstra untuk mengizinkannya. Sementara itu, kata Palko, sangat penting bagi admin untuk mengidentifikasi sistem apa pun di dalam jaringan mereka yang mengandalkan sandi. Meskipun terdapat kerentanan yang diketahui, RC4 tetap menjadi satu-satunya sarana beberapa sistem lama pihak ketiga untuk mengautentikasi ke jaringan Windows. Sistem ini sering kali diabaikan dalam jaringan meskipun diperlukan untuk fungsi-fungsi penting.
