Trong một động thái quan trọng nhằm tăng cường an ninh mạng cho hệ sinh thái Windows, Microsoft vừa chính thức xác nhận kế hoạch loại bỏ hoàn toàn sự hỗ trợ mặc định cho thuật toán mã hóa RC4. Đây là chuẩn mã hóa dòng (stream cipher) từng được gã khổng lồ phần mềm giới thiệu lần đầu trên Windows 2000 như một thuật toán xác thực mặc định cho các dịch vụ Active Directory. Tuy nhiên, sau nhiều thập kỷ tồn tại với vô số cảnh báo về lỗ hổng bảo mật, Redmond cuối cùng cũng đã quyết định đưa công nghệ già cỗi này “về hưu” trong vài tháng tới, chấm dứt một kỷ nguyên dài của chuẩn bảo mật đầy rủi ro này.
Lịch sử đầy lỗ hổng của thuật toán mã hóa RC4
Gần đây, Microsoft đã đưa ra xác nhận chính thức về việc họ đang tiến hành các bước cuối cùng để ngừng sử dụng RC4, phương pháp mã hóa vốn được giao thức xác thực Kerberos sử dụng trong suốt ba thập kỷ qua. Để hiểu rõ hơn về nguồn gốc của công nghệ này, chúng ta cần quay ngược thời gian về năm 1987, khi nhà toán học Ron Rivest phát triển ra Rivest Cipher 4 (RC4). Mặc dù từng là một tiêu chuẩn phổ biến, nhưng thực tế thuật toán này đã bị đánh giá là dễ bị tấn công từ tận năm 1994, thời điểm mà thuật toán bí mật này bị rò rỉ ra công chúng.
Ông Matthew Palko, Giám đốc Chương trình Chính của Microsoft, đã có những chia sẻ thẳng thắn về vấn đề này. Ông thừa nhận rằng mặc dù RC4 từng mang lại những lợi ích đáng kể về khả năng tương thích hệ thống, nhưng từ lâu nó đã trở thành “gót chân Achilles” của hệ thống bảo mật do dễ bị tổn thương trước một phương thức tấn công nguy hiểm có tên là “Kerberoasting”. Sự kết hợp giữa giao thức Kerberos và mã hóa RC4 đã tồn tại như một thành phần cốt lõi của Active Directory kể từ những ngày đầu dịch vụ này ra mắt, tạo nên một bề mặt tấn công rộng lớn cho tin tặc khai thác.
Theo lộ trình được công bố, các nhà phát triển tại Redmond dự kiến sẽ vô hiệu hóa hỗ trợ RC4 theo mặc định vào giữa năm 2026. Trung tâm Phân phối Khóa Kerberos (KDC) trên các hệ thống từ Windows Server 2008 trở về sau sẽ chuyển sang sử dụng mặc định chuẩn AES-SHA1. Đây là một tiêu chuẩn bảo mật hiện đại và an toàn hơn đáng kể so với người tiền nhiệm RC4 già cỗi. Mặc dù các quản trị viên miền (domain administrators) vẫn có thể định cấu hình tài khoản KDC với xác thực RC4 nếu muốn, nhưng họ cần phải hiểu rõ và chấp nhận những rủi ro an ninh nghiêm trọng đi kèm với quyết định đó.
Thách thức kỹ thuật trong việc loại bỏ công nghệ cũ
Ngay sau thông báo của ông Palko, ông Steve Syfuhs, một chuyên gia khác của Microsoft, đã chia sẻ trên mạng xã hội Bluesky rằng việc loại bỏ RC4 khỏi ngăn xếp Kerberos của Windows là một quá trình đã được mong đợi từ rất lâu. Thực tế, các nhà phát triển đã âm thầm làm việc cho dự án này trong hơn một thập kỷ qua. Tuy nhiên, việc loại bỏ một thuật toán mã hóa đã được nhúng sâu vào mọi hệ điều hành được phát hành trong suốt 25 năm qua là một nhiệm vụ vô cùng phức tạp và đầy thách thức kỹ thuật.
Trong suốt thời gian qua, các lập trình viên của Microsoft đã phải giữ cho RC4 “sống sót” bằng cách xử lý phẫu thuật các vấn đề bảo mật nghiêm trọng nhất của nó. Họ duy trì sự hỗ trợ này cho đến khi quyết định ưu tiên hoàn toàn cho chuẩn AES trong các giao tiếp Kerberos được đưa ra. Sự thay đổi chiến lược này đã giúp giảm đáng kể việc sử dụng RC4 trong hệ thống, đồng thời đảm bảo tác động tối thiểu đến khả năng tương thích của các tổ chức đang vận hành hệ thống Active Directory.
Công cụ hỗ trợ chuyển đổi và cảnh báo từ giới chuyên môn
Với kế hoạch “khai tử” đã được chốt hạ, Microsoft hiện đang cung cấp các công cụ cần thiết để giúp các quản trị viên xác định và khắc phục các sự cố liên quan đến những kết nối dựa trên RC4 còn sót lại. Các tập lệnh PowerShell mới đã được phát hành, cho phép nhận diện các trường hợp xác thực RC4 đang diễn ra trong môi trường Windows. Ông Palko đặc biệt khuyên các tổ chức nên nhanh chóng di chuyển các hệ thống này sang AES-SHA1 hoặc nâng cấp lên phiên bản Windows mới hơn. Cần lưu ý rằng Windows Server 2003 là hệ điều hành cuối cùng không có sự hỗ trợ đầy đủ và đúng chuẩn cho AES128-SHA96 và AES256-SHA96.
Động thái này của Microsoft được đánh giá là một bước đi tích cực, cuối cùng cũng giải quyết triệt để sự mất an toàn của RC4. Đây cũng có thể được xem là câu trả lời cho những chỉ trích gay gắt gần đây từ Thượng nghị sĩ Đảng Dân chủ Ron Wyden, người đã gọi việc duy trì các chuẩn bảo mật cũ là “sự cẩu thả nghiêm trọng về an ninh mạng”. Tuy nhiên, một thực tế đáng lo ngại vẫn tồn tại là thuật toán này vẫn đang được hỗ trợ rộng rãi trên toàn ngành công nghiệp. Điều này đồng nghĩa với việc các giao tiếp không an toàn và các mạng lưới dễ bị tổn thương có thể sẽ vẫn tồn tại dai dẳng trong nhiều năm tới trước khi bị loại bỏ hoàn toàn.
