Khánh Phạm
Writer
Steve Syfuhs, người đứng đầu nhóm xác thực Windows của Microsoft, đã thông báo trên Bluesky vào ngày 11 tháng 12 rằng Microsoft đang chuẩn bị loại bỏ hoàn toàn thuật toán mã hóa RC4 lỗi thời, vốn đã tồn tại trong 25 năm.
RC4, viết tắt của Rivest Cipher 4, là một thuật toán mã hóa luồng cũ được tạo ra vào năm 1987, từng được sử dụng rộng rãi để mã hóa dữ liệu truyền tải qua mạng. Do tuổi đời lâu năm, nó có những lỗ hổng bảo mật nghiêm trọng, giống như một ổ khóa cũ với xi lanh bị gỉ và công thức bị rò rỉ, khiến việc phá khóa trở nên cực kỳ dễ dàng.
Ông chỉ ra rằng thuật toán mã hóa này đã được phát hành cùng với Windows trong 25 năm và từ lâu đã là tùy chọn mặc định, vì vậy việc "loại bỏ" hoàn toàn nó bây giờ khó khăn hơn nhiều so với dự kiến.
Vấn đề cốt lõi không chỉ nằm ở sự tồn tại của thuật toán mà còn ở cách thức nó được gọi và các quy tắc thay đổi mã trong 20 năm qua . Các nhà phát triển đã phát hiện ra một số lượng lớn các lỗ hổng nghiêm trọng trong RC4 trong hai thập kỷ qua và đã phải thực hiện nhiều lần sửa lỗi "chuyên sâu".
Ban đầu, Microsoft dự định loại bỏ hoàn toàn RC4 trong năm nay, nhưng buộc phải hoãn lại do phát hiện ra các lỗ hổng bảo mật mới cần được khắc phục. Trong thời gian đó, Microsoft đã giới thiệu một loạt "cải tiến nhỏ" nhằm hướng dẫn các hệ thống ưu tiên sử dụng thuật toán mã hóa AES an toàn hơn.
Chiến lược này đã chứng tỏ hiệu quả cao, với việc sử dụng RC4 giảm mạnh theo cấp số nhân và hiện đang tiến gần đến con số không. Syfuhs cho biết sự suy giảm tự nhiên này mang đến cơ hội tuyệt vời để loại bỏ hoàn toàn thuật toán, vì các biện pháp quyết liệt khó có thể làm gián đoạn môi trường kinh doanh hiện tại của người dùng vào thời điểm này.
Lỗ hổng bảo mật cốt lõi của RC4 nằm ở việc triển khai xác thực Active Directory: nó không sử dụng kỹ thuật mã hóa muối (cryptographic salting) và chỉ thực hiện một vòng băm MD4 duy nhất.
"Salting" là một kỹ thuật quan trọng bổ sung các dữ liệu ngẫu nhiên vào mật khẩu trước khi băm, làm tăng đáng kể độ khó cho tin tặc trong việc bẻ khóa. Ngược lại, thuật toán MD4 cực kỳ nhanh, chỉ cần rất ít tài nguyên để tin tặc bẻ khóa. Lỗi thiết kế này đã trực tiếp dẫn đến cuộc tấn công Kerberoasting khét tiếng, cho phép kẻ tấn công dễ dàng đánh cắp thông tin đăng nhập tài khoản dịch vụ.
Tấn công Kerberoasting là một kỹ thuật tấn công nhắm vào môi trường miền Windows (Active Directory). Tin tặc khai thác cơ chế của hệ thống cho phép bất kỳ người dùng nào yêu cầu vé dịch vụ, trích xuất các vé được bảo vệ bằng mã hóa yếu (như RC4), và sau đó tấn công vét cạn mật khẩu trong môi trường ngoại tuyến để giành quyền quản trị.
Thay vì sử dụng RC4, thuật toán AES-SHA1 do Microsoft quảng bá có tính bảo mật cao hơn nhiều. Nhìn chung, việc bẻ khóa mật khẩu được mã hóa bằng AES-SHA1 đòi hỏi thời gian và tài nguyên gấp khoảng 1000 lần so với việc bẻ khóa mật khẩu RC4.
Mặc dù Microsoft đã có hành động ở cấp độ hệ thống, nhưng do RC4 được sử dụng rộng rãi trong ngành, Microsoft vẫn đặc biệt khuyến nghị các quản trị viên Windows tiến hành kiểm tra toàn diện môi trường mạng để đảm bảo không còn cấu hình RC4 cũ, nhằm tránh gây bất lợi cho các nhà bảo mật.
RC4, viết tắt của Rivest Cipher 4, là một thuật toán mã hóa luồng cũ được tạo ra vào năm 1987, từng được sử dụng rộng rãi để mã hóa dữ liệu truyền tải qua mạng. Do tuổi đời lâu năm, nó có những lỗ hổng bảo mật nghiêm trọng, giống như một ổ khóa cũ với xi lanh bị gỉ và công thức bị rò rỉ, khiến việc phá khóa trở nên cực kỳ dễ dàng.
Ông chỉ ra rằng thuật toán mã hóa này đã được phát hành cùng với Windows trong 25 năm và từ lâu đã là tùy chọn mặc định, vì vậy việc "loại bỏ" hoàn toàn nó bây giờ khó khăn hơn nhiều so với dự kiến.
Vấn đề cốt lõi không chỉ nằm ở sự tồn tại của thuật toán mà còn ở cách thức nó được gọi và các quy tắc thay đổi mã trong 20 năm qua . Các nhà phát triển đã phát hiện ra một số lượng lớn các lỗ hổng nghiêm trọng trong RC4 trong hai thập kỷ qua và đã phải thực hiện nhiều lần sửa lỗi "chuyên sâu".
Ban đầu, Microsoft dự định loại bỏ hoàn toàn RC4 trong năm nay, nhưng buộc phải hoãn lại do phát hiện ra các lỗ hổng bảo mật mới cần được khắc phục. Trong thời gian đó, Microsoft đã giới thiệu một loạt "cải tiến nhỏ" nhằm hướng dẫn các hệ thống ưu tiên sử dụng thuật toán mã hóa AES an toàn hơn.
Chiến lược này đã chứng tỏ hiệu quả cao, với việc sử dụng RC4 giảm mạnh theo cấp số nhân và hiện đang tiến gần đến con số không. Syfuhs cho biết sự suy giảm tự nhiên này mang đến cơ hội tuyệt vời để loại bỏ hoàn toàn thuật toán, vì các biện pháp quyết liệt khó có thể làm gián đoạn môi trường kinh doanh hiện tại của người dùng vào thời điểm này.
Lỗ hổng bảo mật cốt lõi của RC4 nằm ở việc triển khai xác thực Active Directory: nó không sử dụng kỹ thuật mã hóa muối (cryptographic salting) và chỉ thực hiện một vòng băm MD4 duy nhất.
"Salting" là một kỹ thuật quan trọng bổ sung các dữ liệu ngẫu nhiên vào mật khẩu trước khi băm, làm tăng đáng kể độ khó cho tin tặc trong việc bẻ khóa. Ngược lại, thuật toán MD4 cực kỳ nhanh, chỉ cần rất ít tài nguyên để tin tặc bẻ khóa. Lỗi thiết kế này đã trực tiếp dẫn đến cuộc tấn công Kerberoasting khét tiếng, cho phép kẻ tấn công dễ dàng đánh cắp thông tin đăng nhập tài khoản dịch vụ.
Tấn công Kerberoasting là một kỹ thuật tấn công nhắm vào môi trường miền Windows (Active Directory). Tin tặc khai thác cơ chế của hệ thống cho phép bất kỳ người dùng nào yêu cầu vé dịch vụ, trích xuất các vé được bảo vệ bằng mã hóa yếu (như RC4), và sau đó tấn công vét cạn mật khẩu trong môi trường ngoại tuyến để giành quyền quản trị.
Thay vì sử dụng RC4, thuật toán AES-SHA1 do Microsoft quảng bá có tính bảo mật cao hơn nhiều. Nhìn chung, việc bẻ khóa mật khẩu được mã hóa bằng AES-SHA1 đòi hỏi thời gian và tài nguyên gấp khoảng 1000 lần so với việc bẻ khóa mật khẩu RC4.
Mặc dù Microsoft đã có hành động ở cấp độ hệ thống, nhưng do RC4 được sử dụng rộng rãi trong ngành, Microsoft vẫn đặc biệt khuyến nghị các quản trị viên Windows tiến hành kiểm tra toàn diện môi trường mạng để đảm bảo không còn cấu hình RC4 cũ, nhằm tránh gây bất lợi cho các nhà bảo mật.
