Microsoft will kill obsolete cipher that has wreaked decades of havoc
5 months ago
- #Encryption
- #Microsoft
- #Cybersecurity
- 微软宣布将在26年后停止对Windows系统中RC4加密算法的支持,原因是该算法存在安全漏洞。
- RC4加密自2000年起用于Active Directory,但早在1994年密码学攻击被证实后就被发现存在缺陷。
- 尽管已知其脆弱性,RC4直到约十年前仍被用于SSL和TLS等加密协议。
- 微软虽将Active Directory升级至支持AES加密,但认证请求仍默认使用RC4,这使其成为黑客的攻击目标。
- 2023年医疗巨头Ascension遭入侵事件中,攻击者正是利用了RC4漏洞,导致140家医院和560万患者受影响。
- 美国参议员Ron Wyden谴责微软持续默认支持RC4的行为是'严重的网络安全渎职'。
- 微软以Kerberoasting攻击(Ascension数据泄露的根本原因)为由,正式宣布弃用RC4加密标准。