RC4 เป็นอัลกอริธึมการเข้ารหัสแบบดั้งเดิมที่ Kerberos ใช้มานานหลายทศวรรษเพื่อรักษาความปลอดภัยของการรับส่งข้อมูลการตรวจสอบสิทธิ์ Active Directory สภาพแวดล้อม (AD) กำลังจะเปลี่ยนไป ไม่ว่าสภาพแวดล้อมของคุณจะพร้อมหรือไม่ก็ตาม
ซึ่งเป็นส่วนหนึ่งของการเสริมความแข็งแกร่งด้านความปลอดภัยที่เกี่ยวข้องกับ CVE-2026-20833ไมโครซอฟต์กำลังทยอยยกเลิกการเข้ารหัส RC4 ในการตรวจสอบสิทธิ์ Kerberos การอัปเดต Windows เดือนเมษายน 2026 ถือเป็นขั้นตอนแรกที่ศูนย์กระจายคีย์ Kerberos (KDC) จะหยุดยอมรับ RC4 เป็นตัวเลือกสำรองโดยปริยาย สภาพแวดล้อมที่ยังไม่ได้กำหนดการพึ่งพา RC4 กำลังจะค้นพบปัญหาในรูปแบบที่เลวร้ายที่สุด นั่นคือ ความล้มเหลวในการตรวจสอบสิทธิ์ในการใช้งานจริง
ชุมชนด้านความปลอดภัยได้ยืนยันมานานแล้วว่าการเข้ารหัส RC4 นั้นอ่อนแอ แต่สิ่งที่ยากคือการรู้ว่ามันยังคงซ่อนตัวอยู่ที่ใดในสภาพแวดล้อมของคุณ มันเป็นวิธีการเข้ารหัสที่ล้าสมัย มีช่องโหว่ที่ถูกบันทึกไว้อย่างดี และยังคงใช้งานอยู่เพียงเพื่อความเข้ากันได้กับระบบเก่าเท่านั้น RC4 ยังคงอยู่ในสภาพแวดล้อม AD มานานกว่าที่ใครๆ ตั้งใจไว้
ในบทความนี้ เราจะมาอธิบายว่าทำไมการตรวจจับการพึ่งพา RC4 จึงเป็นเรื่องยาก ความเสี่ยงที่อาจเกิดขึ้นหากตรวจไม่พบ และวิธีการแก้ไข Silverfort ช่วยให้ทีมรักษาความปลอดภัยมองเห็นปัญหาและแก้ไขได้ก่อนที่หน่วยงานบังคับใช้กฎหมายจะดำเนินการเอง
เหตุใด RC4 ใน Kerberos จึงเป็นช่องโหว่ด้านความปลอดภัยที่สำคัญ
เพื่อให้เข้าใจว่าเหตุใดการยกเลิกการใช้งาน RC4 จึงมีความสำคัญ จำเป็นต้องพิจารณาดังต่อไปนี้ สรุปวิธีการทำงานของการตรวจสอบสิทธิ์ Kerberos อย่างรวดเร็ว. เมื่อ เมื่อผู้ใช้หรือบัญชีบริการยืนยันตัวตนในสภาพแวดล้อม AD แล้ว Kerberos KDC จะออกตั๋ว—โดยพื้นฐานแล้วเป็น รหัสผ่านที่ได้รับการปกป้องด้วยวิธีการเข้ารหัสลับ ซึ่งให้สิทธิ์ในการเข้าถึงทรัพยากรเฉพาะอย่างหนึ่งอัลกอริทึมการเข้ารหัสที่ใช้ในการปกป้องตั๋วใบนั้น แน่นอน ความยากลำบากสำหรับผู้โจมตี ร้าว มัน
นี่คือจุดที่ RC4 สร้างช่องโหว่ที่แท้จริง เมื่อตั๋ว Kerberos ถูกเข้ารหัสด้วย RC4 ตั๋วเหล่านั้นจะเสี่ยงต่อการโจมตีที่เรียกว่า... เคอร์เบอโรสติ้งในการโจมตีประเภทนี้ ผู้โจมตีที่มีบัญชีโดเมนที่ถูกต้องใดๆ ก็สามารถขอตั๋วบริการสำหรับทรัพยากรที่ถูกต้องตามกฎหมาย ยึดครอง และนำทรัพยากรนั้นออกจากระบบเพื่อทำการถอดรหัสแบบเดาแบบสุ่ม โดยไม่จำเป็นต้องมีสิทธิ์พิเศษใดๆ และไม่มีการแจ้งเตือนใดๆ เกิดขึ้น ยิ่งการเข้ารหัสอ่อนแอเท่าไร การถอดรหัสก็จะยิ่งเร็วขึ้นเท่านั้น
ด้วย RC4 กระบวนการดังกล่าวจึงเร็วกว่าการเข้ารหัสมาตรฐานการเข้ารหัสขั้นสูง (AES) อย่างมาก โดยเฉพาะอย่างยิ่งสำหรับบัญชีบริการที่มีรหัสผ่านเก่าหรืออ่อนแอ ผลที่ได้คือเส้นทางที่ตรงไปตรงมาจากบัญชีโดเมนพื้นฐานไปสู่การถูกเจาะบัญชีบริการอย่างสมบูรณ์ และจากนั้น... การเคลื่อนไหวด้านข้าง ครอบคลุมทั้งสภาพแวดล้อม
ปรับปรุงความปลอดภัยของ Active Directory ของคุณให้ทันสมัยยิ่งขึ้น
เรียนรู้วิธีป้องกันการเคลื่อนย้ายตำแหน่งในแนวนอนและการใช้อำนาจในทางที่ผิดเพื่อเพิ่มระดับสิทธิพิเศษใน Active Directory (ค.ศ.)
เหตุใดการค้นหาส่วนประกอบที่จำเป็นของ RC4 จึงทำได้ยาก
หาก RC4 เป็นความเสี่ยงที่รู้จักกันดี ทำไมสภาพแวดล้อมจำนวนมากจึงยังคงพึ่งพาความเสี่ยงนี้อยู่? คำตอบไม่ใช่ความประมาทเลินเล่อ แต่เป็นเพราะการมองเห็นความเสี่ยงนั้น การสัมผัสกับ RC4 มักไม่ปรากฏให้เห็นเอง มันสามารถทำงานอย่างเงียบๆ ในเบื้องหลัง บ่อยครั้งในสถานที่ที่ไม่ได้ถูกแตะต้องมานานหลายปี
สาเหตุหลักมาจากคุณลักษณะ AD เพียงอย่างเดียว: msDS-SupportedEncryptionTypes. เมื่อไม่ได้กำหนดแอตทริบิวต์นี้ไว้อย่างชัดเจนในบัญชี KDC จะไม่มีคำสั่งใดๆ เกี่ยวกับการเข้ารหัสที่จะใช้ และในอดีตนั้นหมายความว่า RC4, AES-128 หรือ AES-256 ล้วนได้รับอนุญาต สภาพแวดล้อมส่วนใหญ่มีบัญชีหลายพันบัญชีที่ไม่ได้กำหนดแอตทริบิวต์นี้ไว้ และแต่ละบัญชีก็มีโอกาสตกเป็นเป้าหมายของการโจมตีแบบ Kerberoasting และการถูกบุกรุกได้
บัญชีสองประเภทที่มีความเสี่ยงเป็นพิเศษ ได้แก่ บัญชีบริการและบัญชีเครื่องจักร
บัญชีบริการใน Active Directoryจุดบอดที่ใหญ่ที่สุดของ RC4
บัญชีบริการ บัญชีผู้ใช้ประเภทนี้ถูกสร้างขึ้นเพื่อใช้งานแอปพลิเคชัน บริการ หรือกระบวนการอัตโนมัติ แตกต่างจากบัญชีผู้ใช้ทั่วไปตรงที่รหัสผ่านของบัญชีเหล่านี้จะถูกจัดการด้วยตนเอง และในหลายๆ สภาพแวดล้อม รหัสผ่านเหล่านี้อาจไม่ได้ถูกรีเซ็ตมานานหลายปีแล้ว
หากรหัสผ่านของบัญชีบริการถูกตั้งค่าครั้งล่าสุดก่อน Windows Server 2008 ซึ่งเป็นเวอร์ชันที่รองรับการเข้ารหัส AES ใน Active Directory บัญชีนั้นจะไม่เคยมีคีย์ AES สร้างขึ้นมาก่อน การอัปเกรดโดเมนเพียงอย่างเดียวไม่สามารถแก้ไขปัญหานี้ได้ มีเพียงการรีเซ็ตรหัสผ่านเท่านั้นที่จะกระตุ้นการสร้างคีย์ AES แทน RC4 แต่ก่อนที่คุณจะทำเช่นนั้นได้ คุณต้องรู้ว่าบัญชีใดอยู่ในสถานะนี้ ซึ่งเป็นสิ่งที่สภาพแวดล้อมส่วนใหญ่ไม่สามารถมองเห็นได้
บัญชีเครื่องจักรใน Active Directory: การพึ่งพาอีกรูปแบบหนึ่ง
บัญชีเครื่องจักร ถูกสร้างขึ้นโดยอัตโนมัติโดย Active Directory สำหรับทุกเอนด์พอยต์ที่เข้าร่วมโดเมน ซึ่งแตกต่างจากบัญชีบริการ รหัสผ่านจะเปลี่ยนโดยอัตโนมัติ ดังนั้นปัญหาเรื่องข้อมูลประจำตัวที่ล้าสมัยจึงไม่ใช่ปัญหาในกรณีนี้
ปัญหาอยู่ที่ระบบปฏิบัติการเอง อุปกรณ์ที่ใช้ Windows เวอร์ชันเก่ากว่า Server 2008 ไม่รองรับการเข้ารหัส AES สำหรับบัญชีเหล่านี้ RC4 ไม่ใช่แค่ตัวเลือกเริ่มต้น แต่เป็นข้อกำหนดที่จำเป็นจนกว่าระบบจะได้รับการอัปเกรด
ผลที่ได้คือ ความเสี่ยงจากช่องโหว่ RC4 ในสภาพแวดล้อมส่วนใหญ่ไม่ได้กระจุกตัวอยู่ในที่เดียว แต่กระจายไปทั่วบัญชีบริการและเครื่องต่างๆ โดยแต่ละบัญชีมีเหตุผลในการพึ่งพาที่แตกต่างกัน และมีแนวทางการแก้ไขที่แตกต่างกันไป
ลำดับเหตุการณ์การยกเลิกการใช้งาน RC4: เกิดอะไรขึ้นในแต่ละขั้นตอน และทำไมจึงมีความสำคัญในตอนนี้
ไมโครซอฟต์ได้วางแผนการยกเลิกการใช้งาน RC4 เป็นการทยอยเปิดใช้งาน ซึ่งทำให้องค์กรต่างๆ มีเวลาเตรียมตัว แต่เวลานั้นกำลังจะหมดลงแล้ว
มกราคม 2026 การอัปเดตครั้งนี้ได้เพิ่มขั้นตอนการตรวจสอบเข้ามา การเข้ารหัส RC4 ยังคงได้รับอนุญาต แต่ได้มีการเพิ่มกลไกการบันทึกข้อมูลใหม่เพื่อให้องค์กรสามารถมองเห็นได้ว่ามีการใช้งานที่ใดบ้าง
เมษายน 2026 การอัปเดตคือจุดเริ่มต้นของการบังคับใช้ ศูนย์กระจายคีย์ (KDC) ตอนนี้ทำงานในโหมด AES เท่านั้นเป็นค่าเริ่มต้นสำหรับบัญชีที่ msDS-SupportedEncryptionTypes ไม่สามารถระบุได้ RC4 ไม่ใช่ตัวเลือกสำรองอีกต่อไป และบัญชีบริการหรือเครื่องใดๆ ที่ยังคงพึ่งพา RC4 จะเริ่มประสบปัญหาการตรวจสอบสิทธิ์ล้มเหลว มีวิธีแก้ปัญหาชั่วคราวอยู่: RC4DefaultDisablementPhase คีย์รีจิสทรีช่วยให้ผู้ดูแลระบบสามารถย้อนกลับพฤติกรรมของ DC ได้ด้วยตนเองในระหว่างที่ดำเนินการแก้ไขปัญหา แต่เป็นเพียงทางเลือกชั่วคราวเท่านั้น
ในเดือนกรกฎาคม พ.ศ. 2026ตัวเลือกการย้อนกลับจะถูกลบออกโดยสมบูรณ์ การเข้ารหัส RC4 จะใช้งานได้ก็ต่อเมื่อมีการกำหนดค่าอย่างชัดเจนในแต่ละบัญชี แต่ Microsoft ไม่แนะนำให้ใช้วิธีการที่ไม่ปลอดภัยนี้ หากกระบวนการแก้ไขไม่เสร็จสมบูรณ์ การพึ่งพา RC4 ที่เหลืออยู่จะทำให้เกิดความล้มเหลวในการตรวจสอบสิทธิ์โดยไม่มีวิธีย้อนกลับ
ความเสี่ยงไม่ได้อยู่ที่แค่การตรวจสอบสิทธิ์ล้มเหลวเท่านั้น บัญชีบริการ หากไม่สามารถตรวจสอบสิทธิ์ได้ หมายความว่าแอปพลิเคชันจะหยุดทำงาน และกระบวนการอัตโนมัติจะหยุดลง ซึ่งเป็นปัญหาด้านการปฏิบัติงานที่อาจนำไปสู่ปัญหาอื่นๆ ได้ การหยุดชะงักในวงกว้างของธุรกิจและส่วนประกอบ RC4 ใดๆ ที่ยังคงถูกกำหนดค่าไว้อย่างชัดเจนหลังจากเดือนกรกฎาคม จะกลายเป็นจุดอ่อนถาวรในการตรวจสอบสิทธิ์ Kerberos ของคุณ
วิธีตรวจสอบปริมาณสาร RC4 ในสภาพแวดล้อมของคุณด้วย Silverfort
Silverfort ช่วยระบุการพึ่งพา RC4 ในสภาพแวดล้อมของคุณผ่านสองแนวทางที่เสริมกัน ได้แก่ การประเมินสถานะเชิงรุกและการตรวจสอบการรับรองความถูกต้องแบบเรียลไทม์ โดยไม่ต้องกำหนดค่าหรือเขียนสคริปต์เพิ่มเติมใดๆ
การสืบสวนดำเนินไปตามขั้นตอนสองขั้นตอนที่เป็นธรรมชาติ: เริ่มต้นด้วยตัวบ่งชี้ความเสี่ยงเพื่อระบุบัญชีและอุปกรณ์ที่มีแนวโน้มที่จะมีการพึ่งพา RC4 มากที่สุด จากนั้นจึงเจาะลึกเข้าไปในบันทึกการตรวจสอบสิทธิ์เพื่อยืนยันว่าบันทึกใดบ้างที่ใช้ RC4 ในกระบวนการตรวจสอบสิทธิ์แบบเรียลไทม์โดยเฉพาะ
ขั้นตอนที่ 1-ตัวชี้วัดความเสี่ยง: ฉันระบุ บัญชีที่มีการเข้ารหัสที่อ่อนแอ
Silverfortการจัดการสถานะความปลอดภัยด้านข้อมูลประจำตัว (ISPM) ของ ตรวจสอบสภาพแวดล้อมของคุณอย่างต่อเนื่องและแจ้งเตือนความเสี่ยงโดยอัตโนมัติเมื่อตรวจพบการเข้ารหัสที่อ่อนแอในทราฟฟิกการตรวจสอบสิทธิ์ ตัวบ่งชี้สองตัวมีความเกี่ยวข้องโดยตรงกับความเสี่ยงจาก RC4:
- การเข้ารหัสที่อ่อนแอ (ผู้ใช้)—เกิดขึ้นเมื่อบัญชีผู้ใช้ตรวจสอบสิทธิ์โดยใช้ RC4 หรือการเข้ารหัส Kerberos ที่อ่อนแอประเภทอื่น
- การเข้ารหัสที่อ่อนแอ (เซิร์ฟเวอร์)—ยกขึ้นเมื่อพบเห็นกรณีเดียวกันนี้ในบัญชีบริการหรือบัญชีเครื่องจักร
ตัวชี้วัดเหล่านี้จะแสดงรายการบัญชีที่ตรวจพบการเข้ารหัสที่อ่อนแอในข้อมูลการตรวจสอบสิทธิ์ได้อย่างทันทีและนำไปปฏิบัติได้จริง ไม่ใช่แค่บัญชีที่อาจมีความเสี่ยงจากด้านการตั้งค่า แต่เป็นบัญชีที่กำลังใช้การเข้ารหัสที่อ่อนแออยู่ในขณะนี้
นอกเหนือจากตัวบ่งชี้การเข้ารหัสที่อ่อนแอแล้ว ยังมีอีกสองประการ เพิ่มเติม หมวดหมู่ของ ISPM ช่วยให้เห็นภาพรวมได้ชัดเจนยิ่งขึ้น ผู้ใช้ที่มีรหัสผ่านเก่า ระบุ บัญชีบริการส่วนใหญ่มีแนวโน้มที่จะใช้คีย์ RC4 เท่านั้น เนื่องจากรหัสผ่านของบัญชีเหล่านั้นมีมาก่อน Windows Server 2008 และไม่เคยมีการสร้างคีย์ AES มาก่อน ระบบปฏิบัติการเก่า อุปกรณ์พื้นผิวที่ ทำไม่ได้ รองรับการเข้ารหัส AES ทำให้คุณเห็นได้อย่างชัดเจนว่าบัญชีเครื่องใดบ้างที่ต้องกำหนดค่าข้อยกเว้น RC4 ด้วยตนเอง หรือต้องมีแผนการยกเลิกการใช้งานก่อนที่จะมีการบังคับใช้
ขั้นตอนที่ 2—บันทึกการตรวจสอบสิทธิ์: ยืนยันและตรวจสอบการใช้งาน RC4
เมื่อคุณได้รายชื่อบัญชีที่ถูกตั้งค่าสถานะแล้ว Silverfortบันทึกการตรวจสอบสิทธิ์ของ ช่วยให้คุณเจาะลึกได้มากขึ้น (หมายเหตุ: คุณสามารถ) เรียนรู้เพิ่มเติมเกี่ยวกับการเพิ่มการมองเห็นและการวิเคราะห์ข้อมูลประจำตัวได้ที่นี่) กรองตาม การตอบกลับที่เข้ารหัสอย่างอ่อน และ ตั๋วที่เข้ารหัสอย่างอ่อน ตัวบ่งชี้ความเสี่ยงเพื่อให้มองเห็นภาพรวมการใช้งาน RC4 ในแต่ละการตรวจสอบสิทธิ์ได้อย่างชัดเจน สำหรับแต่ละการตรวจสอบสิทธิ์ คุณสามารถดูข้อมูลต่อไปนี้ได้:
- บัญชีผู้ใช้หรือบัญชีบริการที่เกี่ยวข้อง
- โฮสต์แหล่งที่มา
- บริการเป้าหมายหรือ SPN
- ตัวควบคุมโดเมนที่ออกตั๋ว
ข้อมูลนี้จะช่วยให้คุณมีบริบทที่แม่นยำซึ่งจำเป็นต่อการยืนยันว่าบัญชีใดบ้างที่ใช้การเข้ารหัส RC4 เพื่อจัดลำดับความสำคัญในการแก้ไขปัญหา และเพื่อให้ทีมที่รับผิดชอบระบบที่ได้รับผลกระทบสามารถตัดสินใจได้อย่างมีข้อมูลครบถ้วน
อย่ารอให้ Microsoft ค้นพบช่องโหว่ RC4 ให้คุณ
Silverfort ช่วยให้คุณมองเห็นและค้นหาการพึ่งพา RC4 ก่อนที่การบังคับใช้ของ Microsoft จะทำเช่นนั้น ซึ่งอาจส่งผลให้เกิดความล้มเหลวในการตรวจสอบสิทธิ์และสูญเสียประสิทธิภาพการทำงาน และด้วย Silverfortด้วยระบบตรวจสอบอย่างต่อเนื่อง คุณสามารถติดตามความคืบหน้าในการแก้ไขปัญหาได้ เนื่องจากกำหนดเส้นตายในเดือนกรกฎาคม 2026 ใกล้เข้ามาแล้ว จึงไม่มีเวลาใดเหมาะสมไปกว่านี้อีกแล้วที่จะตรวจสอบสถานะของคุณ
ไม่แน่ใจว่าจะเริ่มต้นที่ไหน ดาวน์โหลดของเรา รายการตรวจสอบความพร้อมในการแก้ไขปัญหา RC4 เพื่อประเมินความเสี่ยงและจัดลำดับความสำคัญของขั้นตอนต่อไปของคุณ และหากคุณต้องการดูวิธีการ Silverfort สามารถช่วย, กำหนดเวลาการโทร กับหนึ่งในผู้เชี่ยวชาญของเรา
