Microsoft dice addio alla crittografia RC4 supportata per 26 anni

Un cambio di paradigma nel mondo della sicurezza informatica è ormai alle porte: un protocollo storico, presente in milioni di infrastrutture digitali, si prepara a lasciare il campo dopo decenni di onorato (e ormai rischioso) servizio.

La decisione di Microsoft di disabilitare definitivamente RC4 dai domain controller Windows Server entro il 2026 rappresenta uno spartiacque, un punto di svolta che coinvolge direttamente amministratori di sistema, responsabili IT e tutte quelle realtà che ancora oggi si affidano a tecnologie nate in un’epoca profondamente diversa dall’attuale.

La vicenda si snoda attraverso numeri e scenari che, negli ultimi anni, hanno assunto contorni sempre più preoccupanti. Milioni di record sono stati esposti a rischi concreti, mentre intere infrastrutture critiche hanno subito attacchi mirati, alimentati da una vulnerabilità nota ma troppo a lungo ignorata. Al centro di questa storia c’è il cifrario a flusso RC4, creato nel lontano 1987 da Ron Rivest, divenuto popolare per la sua rapidità di esecuzione e per la semplicità di implementazione, ma che oggi si rivela drammaticamente inadatto a fronteggiare le minacce della moderna sicurezza informatica.

La crittografia RC4 pronta alla pensione

La debolezza di RC4 non è una novità: le sue lacune strutturali, come la mancanza di salt moderni e la vulnerabilità agli attacchi brute force, sono state ampiamente documentate dalla comunità scientifica. Tuttavia, la vera svolta è arrivata nel 2024, quando l’ospedale Ascension è stato colpito da un devastante attacco ransomware. Gli aggressori, sfruttando la tecnica nota come Kerberoasting, hanno saputo cogliere l’occasione offerta dalla debolezza intrinseca di RC4 nel processo di cifratura dei ticket di servizio Kerberos. In poche ore, sono riusciti a sottrarre credenziali di accesso e compromettere milioni di cartelle cliniche, portando alla luce l’urgenza di un cambio di rotta radicale.

La risposta delle istituzioni non si è fatta attendere. Il senatore Ron Wyden ha puntato il dito contro la scelta di mantenere RC4 come impostazione predefinita nei sistemi, definendola una «negligenza grossolana» e sollecitando i produttori di software a prendersi maggiori responsabilità nella definizione delle configurazioni iniziali. Il dibattito politico ha fatto da cassa di risonanza a una preoccupazione diffusa: quella di trovarsi di fronte a tecnologie obsolete, ancora troppo presenti nei sistemi mission-critical di aziende e pubbliche amministrazioni.

Per rispondere alle critiche e alle nuove esigenze di sicurezza, Microsoft ha delineato una roadmap operativa che punta alla progressiva sostituzione di RC4 con algoritmi più robusti, come AES SHA1. L’azienda ha inoltre annunciato l’introduzione di sistemi di logging avanzato nel Key Distribution Center e la distribuzione di script PowerShell dedicati alla mappatura delle dipendenze residue da RC4 nelle reti aziendali. Questi strumenti, messi a disposizione degli amministratori di sistema, hanno l’obiettivo di agevolare la migrazione verso soluzioni più sicure, minimizzando i rischi di interruzione per i servizi legacy ancora in uso.

Nonostante la direzione intrapresa sia chiara, le sfide restano molteplici e tutt’altro che banali. Numerose organizzazioni saranno chiamate a effettuare audit approfonditi sugli account di servizio, verificare la compatibilità delle applicazioni storiche con i nuovi standard crittografici, aggiornare dispositivi e sistemi che ancora non supportano cifrari moderni e pianificare complesse rotazioni di credenziali. La gestione di questa transizione richiederà tempo, risorse e una pianificazione attenta, soprattutto in contesti dove la continuità operativa non può essere messa a rischio.