05/09/22
1 сентября Microsoft предупредила клиентов, что с 1 октября 2022 года она отключит базовую проверку подлинности Exchange Online для случайных клиентов по всему миру, чтобы повысить безопасность. В конце сентября 2021 года Microsoft уже предупреждала о предстоящем изменении.
По словам Microsoft, с 1 октября компания начнет случайным образом выбирать арендаторов и отключать доступ с базовой проверкой подлинности для следующих служб:
- MAPI;
- RPC (Remote Procedure Call);
- OAB (Offline Address Book);
- EWS (Exchange Web Services) ;
- POP и IMAP (параметры серверов входящих сообщений электронной почты);
- Exchange ActiveSync (EAS);
- Remote PowerShell.
Сообщение об изменении будет размещено в Центре сообщений Windows за 7 дней до начала развертывания. Каждый арендатор получит уведомление, когда базовая проверка подлинности будет отключена.
Клиенты, у которых эта схема аутентификации будет отключена, смогут повторно включить ее один раз для каждого протокола с помощью самодиагностики до конца декабря 2022 года, сообщает Securitylab.
Microsoft уже отключила базовую аутентификацию у миллионов клиентов, которые ее не использовали. Кроме того, компания отключила неиспользуемые протоколы у арендаторов, которые используют эту аутентификацию. Этим компания защищает пользователей от атак, которые эксплуатируют эту небезопасную схему аутентификации.
Базовая проверка подлинности (проверка подлинности прокси) — это схема проверки подлинности на основе HTTP, которую приложения используют для отправки на сервер учетных данных в виде простого текста. Кроме того, базовая аутентификация усложняет включение многофакторной аутентификации (МФА). Это позволяет злоумышленнику украсть учетные данные в MiTM-атаках через TLS или угадать их в Password Spraying-атаках.
Современная аутентификация использует токены авторизации OAuth, которые нельзя повторно использовать для аутентификации на других ресурсах, кроме тех, для которых они были выпущены.
