Microsoft startet mit Identifizierung von unsicherer RC4-Verschlüsselung

Die Windows-Sicherheitsupdates, die Microsoft am Januar-Patchday verteilt hat, schließen eine Sicherheitslücke in der Kerberos-Authentifizierung. Der Patch läutet zudem die erste Phase zum endgültigen Rauswurf von unsicherer Verschlüsselung mit dem Rivest Cipher 4 (RC4) ein.

Im Windows-Release-Health Message Center erklärt Microsoft, dass der Softwareflicken für eine Sicherheitslücke in Kerberos die Härtung von Kerberos mit RC4 einleitet. Bei der Schwachstelle selbst handelt es sich um ein nicht im Detail erläutertes potenzielles Informationsleck aufgrund der RC4-Nutzung (CVE-2026-20833, CVSS 5.5, Risiko „mittel“). „In dieser Phase werden neue Überwachungs- und optionale Konfigurationseinstellungen eingeführt, die dazu beitragen, die Abhängigkeit von älteren Verschlüsselungstypen wie RC4 zu reduzieren und Domänencontroller auf eine künftige Umstellung vorzubereiten, die mit dem Update im April 2026 beginnt und die standardmäßige Verwendung von AES-SHA1-verschlüsselten Tickets vorsieht.“

Das Update allein schließt die Schwachstelle nicht. Dazu müssen Admins den „Erzwingungsmodus“ in ihrer Umgebung aktivieren, erklärt Microsoft. Besonderes Augenmerk sollten offenbar Dienstkonten und Anwendungen erhalten, die derzeit noch auf RC4-basiertes Kerberos setzen.

In einem eigenen Support-Artikel erörtert Microsoft nun den Zeitplan und die Phasen für das RC4-in-Kerberos-Aus. Die erste Phase startet mit den Januar-Updates, und Microsoft empfiehlt, dass Organisationen alle Active Directory Domain-Controller (AD-DCs) damit ausstatten. Damit will Microsoft die Sichtbarkeit und frühzeitige Entdeckung mittels Kerberos-Audit-Ereignissen und einer temporären Kontrolle davon mittels Registry-Einträgen Vorschub leisten. Admins sollen so Fehlkonfigurationen und verbliebene Abhängigkeiten aufspüren, bevor die zweite Phase im April 2026 anfängt.

Erzwungener Modus beginnt im April

Dort will Microsoft standardmäßig den „erzwungenen Modus“ auf allen Windows-Domain-Controllern aktivieren. „Dieses Update ändert den Standardwert „DefaultDomainSupportedEncTypes“ für KDC-Vorgänge, um AES-SHA1 für Konten zu nutzen, für die kein explizites Active Directory-Attribut „msds-SupportedEncryptionTypes“ definiert ist“, erklärt Microsoft im detaillierten Support-Artikel. „In dieser Phase wird der Standardwert für „DefaultDomainSupportedEncTypes“ auf ‚nur noch AES-SHA1‘ mit dem Wert 0x18 geändert.“

Die dritte Phase folgt mit den Sicherheitsupdates im Juli. Dann entfernt Microsoft das DWORD „RC4DefaultDisablementPhase“ aus dem Registry-Zweig „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters“. Den können Admins seit dem Januar-Update nutzen. Der Wert „0“ bedeutet keine Änderung, kein Audit findet statt. „1“ hingegen protokolliert Warnungsereignisse bei standardmäßiger RC4-Nutzung, was Microsoft in der ersten Phase nun dafür einträgt. Der Wert „2“ schließlich ist für Phase 2 gedacht, in der Kerberos annimmt, dass RC4 nicht standardmäßig aktiv ist, was für Phase 2 der Vorgabewert ist. Der Support-Beitrag listet neun mögliche Ereignis-IDs auf, die Admins bei der Domänenanalyse helfen. Sie sind ab Windows Server 2012 als Domain-Controller verfügbar.

Mitte Dezember hatte Microsoft angekündigt, RC4 auch in Kerberos loswerden zu wollen. Angreifer nutzen die schwache Verschlüsselung, um sich erweiterten Zugang zu Active Directories zu verschaffen, etwa mittels „Kerberoasting“-Attacken. Die IETF hat im Jahr 2015 RC4 in TLS quasi verboten. Microsoft empfiehlt auch schon seit 2013, RC4 nicht mehr einzusetzen.

(dmk)