Microsoft sedang mengakhiri penggunaan cipher enkripsi usang dan rentan yang telah didukung secara default oleh Windows selama 26 tahun. Langkah ini menyusul lebih dari satu dekade serangan hack dahsyat yang memanfaatkannya serta kritik pedas baru-baru ini dari seorang senator AS terkemuka.
Saat pembuat perangkat lunak itu meluncurkan Active Directory pada tahun 2000, mereka menjadikan RC4 sebagai satu-satunya metode untuk mengamankan komponen Windows tersebut, yang digunakan administrator untuk mengonfigurasi dan menyediakan akun sesama administrator serta pengguna di dalam organisasi besar. RC4, kependekan dari Rivest Cipher 4, merupakan penghormatan kepada matematikawan dan kriptografer Ron Rivest dari RSA Security, yang mengembangkan stream cipher ini pada 1987. Hanya dalam hitungan hari setelah algoritma yang dilindungi rahasia dagang itu bocor pada 1994, seorang peneliti mendemonstrasikan serangan kriptografi yang secara signifikan melemahkan keamanan yang diyakini disediakannya. Meski kerentanannya telah diketahui, RC4 tetap menjadi andalan dalam protokol enkripsi, termasuk SSL dan penerusnya TLS, hingga sekitar satu dekade lalu.
Mengeliminasi yang Usang
Salah satu pihak yang paling terlihat bertahan dalam mendukung RC4 adalah Microsoft. Pada akhirnya, Microsoft meningkatkan Active Directory untuk mendukung standar enkripsi AES yang jauh lebih aman. Namun secara default, server Windows terus merespons permintaan otentikasi berbasis RC4 dan mengembalikan respons berbasis RC4. Fallback RC4 ini telah menjadi kelemahan favorit yang dieksploitasi peretas untuk membahayakan jaringan perusahaan. Penggunaan RC4 memainkan peran kunci dalam pembobolan raksasa layanan kesehatan Ascension tahun lalu. Pelanggaran itu menyebabkan gangguan yang mengancam jiwa di 140 rumah sakit dan menyerahkan rekam medis 5,6 juta pasien ke tangan penyerang. Senator AS Ron Wyden, seorang Demokrat dari Oregon, pada bulan September menyerukan Komisi Perdagangan Federal untuk menyelidiki Microsoft atas “kelalaian keamanan siber yang parah,” dengan menyitir dukungan default yang berkelanjutan untuk RC4.
“Pada pertengahan 2026, kami akan memperbarui pengaturan default pengontrol domain untuk Kerberos Key Distribution Center (KDC) pada Windows Server 2008 dan yang lebih baru untuk hanya mengizinkan enkripsi AES-SHA1,” tulis Matthew Palko, seorang principal program manager di Microsoft. “RC4 akan dinonaktifkan secara default dan hanya digunakan jika administrator domain secara eksplisit mengonfigurasi akun atau KDC untuk memakainya.”
AES-SHA1, algoritma yang secara luas diyakini aman, telah tersedia di semua versi Windows yang didukung sejak peluncuran Windows Server 2008. Sejak saat itu, klien Windows secara default melakukan otentikasi menggunakan standar yang jauh lebih aman tersebut, dan server merespons dengan standar yang sama. Tetapi, server Windows, juga secara default, merespons permintaan otentikasi berbasis RC4 dan mengembalikan respons berbasis RC4, membiarkan jaringan terbuka terhadap Kerberoasting.
Menyusul perubahan tahun depan, otentikasi RC4 tidak akan lagi berfungsi kecuali administrator melakukan pekerjaan tambahan untuk mengizinkannya. Sementara itu, kata Palko, sangat penting bagi admin untuk mengidentifikasi sistem apa pun di dalam jaringan mereka yang mengandalkan cipher ini. Terlepas dari kerentanan yang diketahui, RC4 tetap menjadi satu-satunya cara bagi beberapa sistem legacy pihak ketiga untuk melakukan otentikasi ke jaringan Windows. Sistem-sistem ini sering kali terlewatkan dalam jaringan meskipun dibutuhkan untuk fungsi-fungsi krusial.