A criptografia RC4 está sendo descontinuada: o ADAudit Plus ajuda você a auditar seu uso

A criptografia RC4 vem sendo executada silenciosamente em segundo plano em ambientes corporativos do Active Directory há anos, e a contagem regressiva para corrigir essa vulnerabilidade já começou.

A Microsoft está descontinuando gradualmente o uso do RC4 na autenticação Kerberos por meio de uma implementação em etapas, conforme descrito na CVE-2026-20833.

  • A partir de 14 de abril de 2026, o RC4 será desativado por padrão, e os controladores de domínio aceitarão apenas AES-SHA1, a menos que seja reativado manualmente.

  • Até julho de 2026, a opção de reverter para o modo de auditoria será removida, tornando o RC4 totalmente desativado por padrão e utilizável apenas por meio de configuração explícita para contas legadas específicas.

Isso não é apenas uma questão de segurança; é também uma questão de disponibilidade. Assim que a medida entrar em vigor, qualquer aplicação ou dispositivo que ainda dependa do RC4 simplesmente deixará de realizar a autenticação. Isso inclui:

  • Aplicações corporativas, como versões mais antigas do SAP, Oracle E-Business Suite e IBM WebSphere, que utilizam Kerberos para o login único;

  • Dispositivos NAS de fornecedores como NetApp e EMC, que recorrem ao RC4 quando o AES não está explicitamente configurado;

  • Sistemas Linux e Unix que executam bibliotecas Kerberos mais antigas (versões do MIT Kerberos anteriores à 1.15);

  • Clientes VPN e serviços de impressão de terceiros que utilizam Kerberos, mas não foram atualizados para negociar AES;

  • Aplicações internas personalizadas criadas há anos que codificaram RC4 como o tipo de criptografia esperado;

  • Instâncias mais antigas do SQL Server que utilizam delegação Kerberos para autenticação de banco de dados;

  • Aplicações baseadas em Java que utilizam implementações desatualizadas de JGSS/JAAS Kerberos, cujo padrão é RC4.

A Microsoft identificou oficialmente esse risco como CVE-2026-20833, uma vulnerabilidade de divulgação de informações do Kerberos com uma pontuação CVSS de 5,5.

Este blog explica o que é o RC4, por que ele é perigoso e como o ADAudit Plus da ManageEngine oferece a visibilidade necessária para auditar e eliminar seu uso antes que a aplicação da política entre em vigor.

O que é o RC4 e por que ele ainda existe no Active Directory? 

O Rivest Cipher 4 (RC4) foi mantido porque funcionava bem com sistemas legados, e abandoná-lo exigiria redefinições de senha e mudanças na infraestrutura que a maioria das organizações desejava evitar.

Quando o Kerberos foi adotado como protocolo de autenticação padrão no Windows, ele herdou o RC4-HMAC como tipo de criptografia suportado, pois permitia interoperabilidade perfeita sem exigir redefinições de senha ou reformulações da infraestrutura.

O problema é que o RC4-HMAC, conforme implementado no Kerberos, apresenta duas falhas graves:

  • O RC4 é hoje considerado criptograficamente comprometido: ele carece de uma aleatoriedade adequada (conhecida como “salting”), o que torna muito mais fácil para os invasores quebrarem as senhas derivadas dele;

  • Derivação de chave baseada em MD4: a conversão de senha em chave depende do MD4, que é uma função hash fraca para os padrões atuais. Isso torna viável a recuperação de senhas a partir de tickets Kerberos capturados, especialmente para senhas mais curtas ou comuns.

Em termos simples: se o RC4 ainda estiver ativo em seu ambiente, invasores podem usá-lo para roubar e quebrar credenciais de contas de serviço com uma técnica conhecida como Kerberoasting, sem precisar de nenhum acesso especial à sua rede.

O que é Kerberoasting? 

Kerberoasting é um ataque real que se aproveita do RC4 no Kerberos. Veja como funciona, passo a passo:

  1. O invasor compromete qualquer conta de usuário comum do domínio. Não é necessário acesso de administrador.

  2. Ele solicita um ticket de serviço para uma conta que possua um Nome Principal de Serviço (SPN), normalmente uma conta de serviço.

  3. O controlador de domínio emite o ticket criptografado com RC4 — o hash da senha da conta de serviço.

  4. O invasor retira o ticket da rede e executa ferramentas de quebra de senha nele.

  5. A senha é recuperada geralmente em questão de minutos, e o invasor agora possui as credenciais da conta de serviço.

💡Você sabia? A equipe de segurança da IBM observou um aumento de 100% nos incidentes de Kerberoasting entre 2022 e 2023. E como o RC4 é vulnerável, a invasão pode ocorrer rapidamente, mesmo em um laptop comum.

Uma conta de serviço comprometida pode então ser usada para se deslocar lateralmente pela rede, escalar privilégios e causar sérios danos, tudo isso sem levantar suspeitas, parecendo uma atividade normal.

Cronograma da Microsoft para a descontinuação do RC4 (2026)

A Microsoft não está apenas recomendando que você deixe de usar o RC4; ela está impondo essa medida. Veja o que vai acontecer e quando:

Fase

Data

Onde isso afeta você

Modo de auditoria

Janeiro de 2026

Os controladores de domínio começam a registrar novos eventos (KDCSVC 201–209) para sinalizar o uso do RC4. Nada deixa de funcionar ainda, mas os avisos já estão presentes.

Modo de reforço

Abril de 2026

Os controladores de domínio param de emitir tickets RC4 por padrão. Contas sem AES configurado não conseguirão se autenticar.

Aplicação total

Julho de 2026

O RC4 só funciona para contas nas quais você o ativou explicitamente. Não há mais opções de reversão.

Conclusão: Se você não identificar e corrigir suas dependências do RC4 antes de abril de 2026, seus usuários e serviços poderão começar a ficar sem acesso.

Como identificar o uso do RC4 de forma nativa (e por que isso é complicado) 

O Windows registra o uso do RC4, mas não é fácil encontrá-lo. Aqui estão os principais eventos que você deve procurar nos seus controladores de domínio:

Log de segurança 

  • Evento ID: 4768 – Foi solicitado um TGT (ticket de login). Verifique o campo “Tipo de criptografia do ticket. Se o valor for 0x17, significa que foi usado o RC4.

  • Evento ID: 4769 – Foi solicitado um ticket de serviço. Novamente, se o “Tipo de criptografia do ticket for 0x17, significa que foi usado o RC4. Este é o evento mais importante para detectar um ataque de Kerberoasting.

O problema: o Evento ID 4769 gera muitos registros; cada solicitação de ticket de serviço o aciona. Analisar milhares desses registros em vários controladores de domínio para encontrar aqueles com o código 0x17 é uma tarefa extremamente demorada sem as ferramentas adequadas.

Identifique contas e serviços vulneráveis 

O RC4 costuma ser usado quando:

  • Sistemas Windows anteriores à era do Windows 7/2008 R2

  • As contas de serviço não suportam AES

  • As configurações do Kerberos estão desatualizadas

Verifique se há:

  • Aplicativos legados

  • Contas de serviço antigas

  • Sistemas que não foram atualizados para suportar AES (AES128 / AES256)

Faça uma auditoria nas configurações de criptografia das contas 

Verifique se as contas estão permitindo explicitamente o uso do RC4.

Passo a passo:

  • Abra Usuários e Computadores do Active Directory

  • Encontre a conta

  • Vá para: Guia da Conta → Tipos de criptografia Kerberos

Se o AES não estiver habilitado, a conta poderá recorrer ao RC4.

Identifique rapidamente o uso do RC4 com o ADAudit Plus 

O ADAudit Plus coleta eventos de todos os seus controladores de domínio em um único local e facilita a filtragem de atividades específicas do RC4, sem a necessidade de vasculhar manualmente os logs. Analise as entradas listadas (se houver) e clique em uma ameaça para visualizar informações detalhadas.

  1. Abra o console do ADAudit Plus da ManageEngine

  2. Navegue até Active Directory → Analisador de superfície de ataque

  3. Em Ameaças, selecione Kerberoasting

Verifique as entradas listadas (se houver) e clique em uma ameaça para ver informações detalhadas.

4. Nos detalhes da ameaça, verifique o ID do evento e o Tipo de criptografia do ticket.

5. Identifique o uso do RC4 procurando o tipo de criptografia associado ao RC4 (por exemplo, 0x17).

Esses detalhes da atividade de logon também podem ser visualizados em:

Relatórios → Active Directory → Gerenciamento de usuários → Atividade de logon do usuário

Você verá imediatamente quem fez a solicitação, qual conta de serviço foi alvo, a partir de qual endereço IP e quando — tudo em uma única tela.

CVE-2026-20833 sob vigilância: configure um alerta em tempo real para RC4 no ADAudit Plus

Veja como configurar o ADAudit Plus para ser notificado no momento em que um ticket de serviço Kerberos criptografado com RC4 for solicitado.

  1. Vá até a guia Configuração e clique em Novo perfil de alerta para começar.

  2. Dê um nome adequado ao alerta e adicione uma descrição, se necessário.

  3. Defina o nível de gravidade desejado com base nos padrões de risco da sua organização.

  4. Em Categoria, selecione Todos e, em seguida, escolha o perfil de relatório intitulado Logon de todos os usuários.

  5. Em Configurações avançadas, marque a caixa de seleção Filtro e clique em Adicionar filtro.

  6. Escolha o filtro Código de falha -> igual a -> 0x17.

Para uma resposta mais rápida a incidentes, você também pode configurar um script adequado para ser executado automaticamente no usuário ou sistema de destino quando o alerta for acionado.

Como proteger seu ambiente contra vulnerabilidades relacionadas ao RC4 e ao Kerberoasting

A detecção é apenas o primeiro passo. Veja o que fazer para corrigir de fato as dependências do RC4 em seu ambiente:

Redefinir senhas de contas de serviço 

  • Para contas de serviço criadas antes da introdução do suporte a AES no seu domínio, a redefinição da senha força o Active Directory a gerar chaves AES modernas para essa conta.

Ativar explicitamente o AES nas contas 

  • Em Usuários e Computadores do Active Directory, abra as propriedades de uma conta de serviço → guia Conta → marque:

✅ Esta conta suporta criptografia Kerberos AES de 128 bits.

✅ Esta conta suporta criptografia Kerberos AES de 256 bits.

Isso define o atributo msDS-SupportedEncryptionTypes para incluir AES — o que significa que a conta receberá tickets criptografados com AES e não correrá risco quando a imposição do RC4 entrar em vigor.

Limpe os SPNs obsoletos 

  • As contas com Nomes de Entidade de Serviço (SPNs) são alvo de ataques de “kerberoasting”. Faça uma auditoria no seu ambiente para identificar contas de serviço com SPNs que não estejam mais ativos ou sejam desnecessários e remova-os.

Use o PowerShell para identificar contas que tenham SPNs configurados:

Get-ADUser -Filter {ServicePrincipalName -like "*"} -Properties ServicePrincipalName | 
Select-Object Name, SamAccountName, ServicePrincipalName

-----------------------------------------------------

O ADAudit Plus da ManageEngine oferece a visibilidade necessária para identificar o uso do RC4 em todo o seu ambiente AD, detectar tentativas de Kerberoasting assim que elas ocorrem e criar a trilha de auditoria necessária para comprovar que seu ambiente está no caminho certo para a conformidade.

Baixe uma versão de avaliação gratuita do ADAudit Plus para ver como ele pode ajudá-lo a se antecipar ao prazo de aplicação do RC4.

Artigo traduzido. Conteúdo original escrito por Santhoshkiran B.

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.

Importante: a ManageEngine não trabalha com distribuidores no Brasil