Bár a redmondi óriás már évek óta fenyegeti a rendszergazdákat a lépéssel, 2025 decemberében eljött a végső leszámolás pillanata. A Microsoft egy radikális biztonsági frissítéssel végleg letiltja az RC4 titkosítási algoritmust a Kerberos hitelesítési protokollban. Ez a lépés évtizedes biztonsági rést foltoz be, ám a felkészületlen vállalati környezetekben azonnali leállásokat okozhat.
Miért most? A nulladik óra története
Az RC4 (Rivest Cipher 4) története 1987-re nyúlik vissza. Ami a 90-es években még az internetes biztonság sarokkövének számított (gondoljunk csak a korai SSL-re vagy a hírhedt WEP wifi-titkosításra), az mára a kiberbűnözők egyik kedvenc játékszerévé vált. A Microsoft már a Windows Server 2008 idején bevezette a modernebb AES szabványt, de a visszafelé kompatibilitás szent tehene miatt az RC4 mindmáig ott lapult a rendszerek mélyén.
A mostani döntés közvetlen előzménye, hogy a modern támadási vektorok – különösen a „Kerberoasting” típusú technikák – automatizáltan használják ki az RC4 gyengeségeit. Egy ilyen támadás során a hacker, aki már bejutott a hálózatba (akár egy egyszerű felhasználói fiókkal), kikényszerítheti, hogy a tartományvezérlő (Domain Controller) RC4-gyel titkosított jegyet adjon ki. Mivel az RC4 matematikai alapjai mára elavultak, ezt a jegyet offline módban, modern GPU-kkal pillanatok alatt feltörik, megszerezve ezzel a rendszergazdai jelszavak hash-eit.
Mi változott 2025 decemberében?
A hét elején élesedett frissítéssel a Microsoft „Hard Kill” üzemmódba kapcsolt. Míg a korábbi, 2022. novemberi frissítések csak megváltoztatták az alapértelmezett beállítást (AES-re), de hagytak kiskaput, a mostani update a következő drasztikus lépéseket teszi:
- Teljes tiltás: A Kerberos KDC (Key Distribution Center) a továbbiakban nem állít ki RC4-gyel titkosított jegyeket, még kifejezett kérésre sem.
- Blokkolt kommunikáció: A szerverek elutasítják a bejövő, RC4-gyel kódolt hitelesítési kísérleteket.
- Event Log riasztás: A rendszer a System naplóban kritikus hibaként jelöli meg, ha valami mégis ezzel a kőkorszaki módszerrel próbálkozik.
A változás hatása a piacra és az üzemeltetőkre
A lépés „csendes gyilkosként” hathat azokra a szervezetekre, amelyek elhanyagolták az infrastruktúra modernizálását. A legnagyobb veszélyben azok a vállalatok vannak, ahol:
- Legacy rendszereket használnak (pl. régi nyomtatók, beléptetőrendszerek, ipari vezérlők), amelyek firmware-e sosem kapott AES-támogatást.
- Hibrid környezetek működnek, ahol a felhős (Azure AD/Entra ID) és a helyi (on-premise) rendszerek szinkronizációja során még régi konfigurációk maradtak fenn.
- Nem Windows-alapú kliensek (régi Linux disztribúciók, macOS verziók) csatlakoznak a tartományhoz, melyek Kerberos implementációja elavult.
Technikai mélyfúrás: RC4 vs. AES
Hogy megértsük a döntés súlyát, érdemes összevetni a nyugdíjazott technológiát az iparági standarddal. A különbség nemcsak sebességben, hanem a feltöréshez szükséges időben is csillagászati.
| Jellemző | RC4 (Rivest Cipher 4) | AES-256 (Advanced Encryption Standard) |
|---|---|---|
| Bevezetés éve | 1987 | 2001 |
| Típus | Stream cipher (folyamtitkosítás) | Block cipher (blokktitkosítás) |
| Sebezhetőség | Magas (Biases, Kerberoasting) | Extrém alacsony (Jelenleg nem törhető) |
| Windows Támogatás | LETILTVA (2025. dec.) | Alapértelmezett |
| Feltörési idő (modern GPU) | Percek / Órák | Univerzum élettartama (Brute force) |
Magyarországi vonatkozások: NIS2 és a megfelelőség kényszere
Hazánkban a helyzetet tovább bonyolítja a NIS2 irányelv (és a hazai kiberbiztonsági törvény) élesedése. A magyar vállalatok jelentős része – különösen a kritikus infrastruktúrát üzemeltetők és beszállítóik – számára a „korszerű titkosítási eljárások alkalmazása” már nem csak jótanács, hanem jogszabályi kötelezettség. Az RC4 kivezetése a Microsoft részéről gyakorlatilag kikényszeríti a megfelelőséget: egyetlen auditor sem fogad el olyan rendszert biztonságosnak 2025-ben, amely még támogatja ezt a protokollt.
A magyar KKV-szektorban gyakori „majd működik, ne nyúljunk hozzá” mentalitás most visszaüthet. Azok a rendszergazdák, akik a Group Policy-ban (GPO) manuálisan engedélyezték az RC4-et a kompatibilitás fenntartása érdekében, a frissítés telepítése után azonnali szolgáltatáskieséssel szembesülhetnek.
Mi a teendő? Kilátások és következő lépések
A pánik helyett a strukturált audit a megoldás. A Microsoft és a biztonsági szakértők a következő lépéseket javasolják az azonnali beavatkozáshoz:
- Auditálás: Ellenőrizze a Windows Event Log-ot (különösen a 4768 és 4769 eseménykódokat), hogy lássa, mely eszközök kérnek még RC4 jegyeket.
- Készletellenőrzés: Azonosítsa azokat a legacy eszközöket, amelyek nem támogatják az AES-128 vagy AES-256 titkosítást (pl. régi NAS-ok, multifunkciós nyomtatók).
- Konfiguráció: Győződjön meg róla, hogy az Active Directory felhasználói fiókjainál be van jelölve a „This account supports Kerberos AES 128/256 bit encryption” opció.
A jövő egyértelműen a Zero Trust elv felé mutat. Az RC4 halála csak egy állomás; a következő években a jelszómentes (passwordless) hitelesítés és a kvantum-rezisztens algoritmusok veszik át a főszerepet. Aki most nem lép, az nemcsak a Microsofttal, hanem a saját biztonsági jövőjével kerül szembe.
