Microsoft, yirmi altı yılın ardından Windows işletim sistemindeki RC4 şifreleme algoritmasının son kalan örneğini nihayet yükseltiyor. RC4'ü desteklemekte en belirgin direnişçilerden biri olan Microsoft, daha önce Active Directory'yi çok daha güvenli AES şifreleme standardını destekleyecek şekilde güncellemişti. Ancak varsayılan olarak, Windows sunucuları RC4 tabanlı kimlik doğrulama isteklerine yanıt vermeye ve RC4 tabanlı bir yanıt döndürmeye devam ediyordu. Bu RC4 geri dönüş mekanizması, bilgisayar korsanlarının kurumsal ağları tehlikeye atmak için sıkça kullandığı bir zayıflık haline gelmişti.
RC4'ün kullanımı, geçen yıl sağlık devi Ascension'ın yaşadığı büyük veri ihlalinde kilit bir rol oynadı. Bu ihlal, 140 hastanede hayati tehlike arz eden aksaklıklara yol açtı ve 5,6 milyon hastanın tıbbi kayıtlarının saldırganların eline geçmesine neden oldu. ABD Senatörü Ron Wyden (D-Ore.), Eylül ayında Federal Ticaret Komisyonu'nu Microsoft'u "ağır siber güvenlik ihmali" nedeniyle soruşturmaya çağırmış ve RC4'e yönelik devam eden varsayılan desteği bu çağrısına gerekçe göstermişti. Geçtiğimiz hafta Microsoft, RC4'ü nihayet kullanımdan kaldırdığını duyurdu ve bunun nedenini, 2014'ten beri bilinen ve Ascension ağındaki ilk sızmanın temel nedeni olan Kerberoasting saldırılarına karşı savunmasızlığı olarak açıkladı. Ek bir bilgi olarak, RC4, Bruce Schneier'ın 1995'te Applied Cryptography'nin ikinci baskısında algoritmayı yayınlayana kadar bir ticari sır olarak kalmıştı.
Yıllardır bilinen bir güvenlik açığını kapatarak kurumsal ağların siber saldırılara karşı direncini önemli ölçüde artıracak bir adım atıldı.