Há quase um ano, a gigante tecnológica de Redmond partilhou detalhes sobre o processo de reforço da segurança dos Controladores de Domínio (DCs) para os proteger contra vulnerabilidades no protocolo Kerberos. Agora, a empresa dá início a mais uma fase deste processo para corrigir falhas de segurança recentemente reportadas, identificadas sob a referência CVE-2026-20833.
O fim do suporte ao RC4 e a aposta no AES
Na base desta atualização está uma vulnerabilidade no protocolo de autenticação Kerberos que permite a um atacante explorar algoritmos de encriptação fracos e obsoletos, como o RC4. Através desta falha, é possível obter bilhetes de serviço (service tickets) que permitem o roubo de credenciais de contas de serviço.
A Microsoft identificou que este problema afeta os Controladores de Domínio que executam várias versões do seu sistema operativo para servidores, incluindo o Windows Server 2008 Premium Assurance, 2008 R2, 2012 e 2012 R2 (através de ESU), bem como as versões 2016, 2019, 2022 e o mais recente Windows Server 2025.
Para mitigar o risco, foram implementadas alterações através da atualização Patch Tuesday deste mês. Neste momento, os clientes encontram-se na "Fase Inicial de Implementação". Durante este período, as atualizações fornecem eventos de auditoria para ajudar os administradores a identificar possíveis problemas de compatibilidade decorrentes do endurecimento da segurança. Foi também introduzido um valor de registo denominado RC4DefaultDisablementPhase para permitir que os DCs utilizem proativamente o algoritmo AES-SHA1 quando for seguro fazê-lo.
Calendário de implementação até julho de 2026
O plano de segurança está estruturado em etapas claras para garantir uma transição suave. A fase atual prolonga-se até abril de 2026, altura em que se iniciará a "Segunda Fase de Implementação". Nesse momento, os Controladores de Domínio passarão a ter a capacidade de utilizar o AES-SHA1 para contas que não tenham um atributo msds-SupportedEncryptionTypes explicitamente definido no Active Directory.
Finalmente, em julho de 2026, a empresa dará início à "Fase de Aplicação" (Enforcement Phase), que irá remover a subchave de registo RC4DefaultDisablementPhase, tornando as medidas de segurança permanentes e obrigatórias.
A tecnológica encoraja os administradores de TI a aplicarem as atualizações de janeiro de 2026 e a monitorizarem ativamente os eventos de auditoria para preparar os seus ambientes para as próximas fases, conforme detalhado no seu artigo de suporte dedicado.
Nenhum comentário
Seja o primeiro!