Microsoft, Windows'un 26 yıldır varsayılan olarak desteklediği, eski ve savunmasız bir şifreleme algoritması olan RC4'ü nihayet sonlandırıyor. Bu karar, algoritmanın on yılı aşkın süredir yıkıcı siber saldırılarda kullanılması ve yakın zamanda önde gelen bir ABD senatöründen sert eleştiriler almasının ardından geldi. 2000 yılında Active Directory'yi kullanıma sunduğunda, Microsoft RC4'ü büyük kuruluşlardaki yönetici ve kullanıcı hesaplarını yapılandırmak için kullanılan bu Windows bileşenini güvence altına almanın tek yolu haline getirmişti. Ancak, Rivest Cipher 4'ün (RC4) ticari sır olarak korunan algoritması 1994'te sızdırıldıktan sadece günler sonra, bir araştırmacı, sağladığı sanılan güvenliği önemli ölçüde zayıflatan bir kriptografik saldırı göstermişti. Bilinen bu zafiyete rağmen, RC4 yaklaşık on yıl öncesine kadar SSL ve halefi TLS dahil olmak üzere şifreleme protokollerinde temel bir bileşen olarak kalmaya devam etti.
Microsoft, RC4'ü desteklemeye devam eden en belirgin şirketlerden biriydi. Şirket, Active Directory'yi çok daha güvenli olan AES şifreleme standardını destekleyecek şekilde yükseltmiş olsa da, Windows sunucuları varsayılan olarak RC4 tabanlı kimlik doğrulama isteklerine yanıt vermeye ve RC4 tabanlı yanıtlar döndürmeye devam etti. Bu RC4 geri dönüşü, bilgisayar korsanlarının kurumsal ağları ele geçirmek için kullandığı favori bir zayıflık olmuştur. Geçen yıl sağlık devi Ascension'a yapılan siber saldırıda RC4 kullanımı kilit rol oynamış, bu saldırı 140 hastanede yaşamı tehdit eden aksaklıklara yol açmış ve 5,6 milyon hastanın tıbbi kayıtlarını saldırganların eline geçirmişti. ABD Senatörü Ron Wyden, Eylül ayında Federal Ticaret Komisyonu'nu, Microsoft'u RC4'e devam eden varsayılan desteği nedeniyle "büyük siber güvenlik ihmali" gerekçesiyle soruşturmaya çağırmıştı. Geçen hafta Microsoft, RC4'ü nihayet kullanımdan kaldırdığını ve Ascension ağındaki ilk saldırının temel nedeni olan, 2014'ten beri bilinen bir saldırı türü olan Kerberoasting'e karşı savunmasızlığını gerekçe gösterdi.
Microsoft'un RC4 şifrelemesini sonlandırması, yıllardır siber saldırılarda kullanılan kritik bir güvenlik açığının kapatılması anlamına geliyor ve kurumsal ağların güvenliğini önemli ölçüde artıracak.