Компания Microsoft объявила, что базовая аутентификация будет отключена для всех протоколов с 1 октября 2022 года, чтобы защитить миллионы пользователей Exchange Online.
Это объявление было сделано после того, как компания отложила удаление базовой аутентификации из Exchange Online до второй половины 2021 года из-за пандемии COVID-19.
«Сегодня мы объявляем, что с 1 октября 2022 года мы начнем отключать Basic Auth во всех кластерах, независимо от использования (за исключением SMTP Auth, который может быть снова включен после этого)» - заявила команда Exchange Online Team.
Microsoft уже начала отключать базовую аутентификацию в июне для кластеров, которые не использовали ее, а также объяснила, как клиенты могут повторно включить протоколы, которые были случайно затронуты.
Чтобы отключить базовую аутентификацию в Exchange Online до того, как Microsoft полностью выведет ее из эксплуатации, необходимо создать и назначить политики аутентификации для отдельных пользователей, используя шаги, подробно описанные на сайте поддержки Exchange Online.
«Отключение базовой аутентификации и требование современной аутентификации с MFA - одна из лучших вещей, которые вы можете сделать для повышения безопасности данных в вашем кластере, и эти перемены только к лучшему» - заявили в Microsoft два года назад, когда стало известно, что современная аутентификация будет применяться во всех кластерах Exchange Online.
«Последнее, что необходимо уточнить - это изменение касается только Exchange Online, мы ничего не меняем в локальных продуктах Exchange Server».
Почему отключается базовая аутентификация?
Хотя компания Microsoft не сообщила почему она решила сделать объявление именно на этой неделе, причиной, скорее всего, является отчет Guardicore, который показал, как сотни тысяч учетных данных домена Windows были переданы открытым текстом неправильно настроенными почтовыми клиентами, использующими базовую аутентификацию.
Амит Серпер, AVP по исследованиям безопасности компании Guardicore, автор отчета, также раскрыл атаку под названием «The ol' switcheroo», которая заставляет клиента Exchange работать в режиме базовой аутентификации.
Базовая аутентификация (также известная как прокси-аутентификация) - это схема аутентификации на основе HTTP, с помощью которой приложения отправляют учетные данные при каждом запросе на подключение к серверам, конечным точкам или онлайн-сервисам, при этом пары имя пользователя/пароль часто хранятся локально на устройстве.
Хотя это значительно упрощает процесс аутентификации, базовая аутентификация также облегчает злоумышленникам кражу учетных данных, если соединения не защищены с помощью криптографического протокола Transport Layer Security (TLS).
Еще хуже то, что включить многофакторную аутентификацию (MFA) не так просто при использовании базовой аутентификации, поэтому MFA часто вообще не используют.
Современная аутентификация (Active Directory Authentication Library (ADAL) и аутентификация на основе маркеров OAuth 2.0) позволяет приложениям использовать маркеры доступа OAuth с ограниченным сроком действия, которые нельзя повторно использовать для аутентификации на других ресурсах, кроме тех, для которых они были выпущены.
После включения современной аутентификации включение и применение MFA станет проще, а улучшение безопасности данных в Exchange Online станет прямым и непосредственным результатом.
Демонстрационное видео по добавлению MFA в почтовые ящики Exchange Online/on-premises доступно на аккаунте Microsoft Ignite YouTube.
Источник: https://www.bleepingcomputer.com
