Windows 25 лет использовала уязвимую систему шифрования. После множества уязвимостей в системе безопасности, наконец, это исправлено

Главная » Microsoft » OS Windows » Windows 25 лет использовала уязвимую систему шифрования. После множества уязвимостей в системе безопасности, наконец, это исправлено

18.12.2025

Windows 25 лет использовала уязвимую систему шифрования. После множества уязвимостей в системе безопасности, наконец, это исправлено

Время чтения: 3 мин.

На протяжении более двух десятилетий одним из теоретических столпов безопасности Windows, как это ни парадоксально, была одна из ее самых больших слабостей: алгоритм шифрования RC4 (Rivest Cipher 4), разработанный в 1987 году и получивший широкое распространение в девяностые годы, оставался активным в основе системы аутентификации Windows. Windows по сей день.

Однако Microsoft наконец подтвердила, что RC4 будет отключен по умолчанию в Windows в середине 2026 года, завершив 25-летнюю главу, отмеченную уязвимостями.

Этот шаг, которого давно ждали (и которого требовало) сообщество безопасности, предполагает отказ от устаревшего алгоритма, но он также является хорошим примером технических и организационных сложностей, которые мешают «убить» небезопасные технологии, когда они глубоко интегрированы в критическую инфраструктуру.

Быстрый алгоритм … и опасно хрупкий

RC4 (Rivest Cipher 4) был разработан в 1987 году Роном Ривестом, одним из самых влиятельных криптографов двадцатого века. Его первоначальная популярность была обусловлена его простотой и скоростью, что привело к его широкому распространению в таких протоколах, как WEP, SSL/TLS, а затем и в системах аутентификации Microsoft.

Но проблемы не заставили себя долго ждать. Уже в девяностых годах исследователи начали предупреждать, что RC4 имеет серьезные структурные недостатки, особенно при использовании со слабыми ключами или без механизмов криптографического усиления. Несмотря на это, в 2000 году Microsoft выпустила Active Directory с RC4 в качестве шифрования по умолчанию, решение, которое будет определять безопасность Windows на десятилетия.

Читать Десять инструментов для взлома Windows, с помощью которых можно защитить сети и ПК

В то время RC4 не казался плохим выбором. Проблема заключалась не столько в ее первоначальном внедрении, сколько в ее постоянстве, когда уже было известно, что она сломана.

Устаревшая технология … терпимая слишком долго

Сообщество безопасности годами призывало к окончательному отзыву RC4. В 2013 году Microsoft уже рекомендовала отключить его в веб-средах. В 2015 году IETF официально запретил его использование в TLS с помощью RFC 7465, даже не в качестве резервной копии. Однако Windows продолжала поддерживать его при аутентификации домена.

Задержка вызвала не только техническую критику. В 2024 году сенатор США Рон Уайден зашел так далеко, что обвинил Microsoft в «грубом пренебрежении безопасностью», заявив, что сохранение RC4 представляет угрозу для национальной безопасности.

Kerberoasting: когда теория переросла в настоящий кризис

Одна из самых серьезных атак, связанных с RC4, — это Kerberoasting, метод, который позволяет злоумышленникам запрашивать сервисные билеты Kerberos и взламывать их в автономном режиме до получения действительных учетных данных. Этой атаке способствует смертельная комбинация:

Как следствие, за последние несколько лет несколько организаций столкнулись с нарушениями безопасности с серьезными последствиями: одним из наиболее серьезных случаев стала атака на Ascension, больничную сеть США, в результате которой были скомпрометированы медицинские данные 5,6 миллиона пациентов, что затронуло более 140 больниц.

Читать CISA предупреждает о критической уязвимости Sudo в Linux, которая используется для атак

Почему было так сложно удалить RC4?

Microsoft признает, что проблема заключалась не только в алгоритме, но и в том, как он был выбран в операционной системе с более чем 20-летней эволюцией. Стив Сайфухс, руководитель группы проверки подлинности Windows, объяснил, что RC4 глубоко интегрирован в устаревшие правила, влияющие на совместимость и совместимость системы.

Фактически, для ее устранения потребовались «хирургические» изменения, чтобы избежать нарушения сложных бизнес-сред. В течение последнего десятилетия Microsoft внедряла постепенные улучшения, отдавая приоритет AES, в результате чего использование RC4 сократилось до практически остаточного уровня. Только тогда можно было объявить о ее окончательном удалении.

Что изменится с 2026 года

В середине 2026 года Microsoft обновит настройки KDC (Key Distribution Center) по умолчанию для Windows Server 2008 и более поздних версий, разрешив только AES-SHA1 для Kerberos. RC4 будет отключен по умолчанию и может использоваться только в том случае, если он явно включен администратором.

Microsoft подчеркнула, что для безопасной аутентификации Windows не требуется RC4, поскольку AES-SHA1 доступен во всех поддерживаемых версиях уже более десяти лет. Кроме того, в нее добавлены новые инструменты аудита, расширенные журналы событий и сценарии PowerShell для обнаружения и устранения остаточных зависимостей .

Просмотров поста: 1

Редактор: AndreyEx

Рейтинг: 5 (1 голос)