Microsoft предупреди клиентите днес, че най-накрая ще деактивира основното удостоверяване нa произволни клиенти по целия свят, за да подобри сигурността на Exchange Online от 1 октомври 2022г. Днешното съобщение следва множество напомняния и предупреждения, които компанията е издала през последните три години, като първото е публикувано през септември 2019г.
Компанията отново помоли клиентите да изключат основното удостоверяване през септември 2021г. и май 2022г., след като стана ясно, че много от тях тепърва ще преместват клиентите и приложенията си към Modern Authentication.
„От първото ни съобщение преди почти три години видяхме как милиони потребители се отдалечават от основното удостоверяване и го деактивирахме за милиони потребители, за да ги защитим проактивно. Все още обаче не сме приключили и за съжаление използването още не е на нула. Въпреки това ние ще започнем да изключваме основното удостоверяване за няколко протокола за клиенти, които не са били деактивирани преди това“, каза днес екипът на Exchange.
„От 1 октомври ще започнем да избираме на случаен принцип клиенти и ще деактивираме основния достъп за удостоверяване за MAPI, RPC, офлайн адресна книга (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) и Remote PowerShell. “
Редмънд казва, че съобщение, обявяващо този ход, ще бъде публикувано в центъра за съобщения на Windows седем дни преди началото на внедряването. Всеки клиент ще бъде уведомен чрез известията на таблото за управление на изправността на услугата, когато основното удостоверяване е деактивирано.
При клиенти, където тази схема за удостоверяване ще бъде деактивирана, те все още ще могат да я активират отново веднъж за протокол, като използват диагностиката за самообслужване до края на декември 2022г. Въпреки това протоколите „ще бъдат деактивирани за основно използване на удостоверяване за постоянно“ през първата седмица на януари 2023г., без да можете отново да използвате основното удостоверяване.
Досега Microsoft каза, че вече е деактивирала основното удостоверяване за милиони потребители, които не го използват, и също така изключва неизползваните протоколи в за такива, които все още го използват, за да ги защити от атаки, използващи тази несигурна схема за удостоверяване.
Основното удостоверяване (известно още като удостоверяване на наследство или удостоверяване на прокси) е базирана на HTTP схема за удостоверяване, която приложенията използват за изпращане на идентификационни данни в обикновен текст до сървъри, крайни точки или различни онлайн услуги.
За съжаление, това позволява на злонамерени хакери да откраднат идентификационни данни при атаки от типа човек по средата през TLS или да ги отгатнат при атаки с изсипване на пароли. Те могат да откраднат идентификационни данни с ясен текст от приложения, използващи основно удостоверяване чрез няколко тактики, включително социално инженерство и зловреден софтуер за кражба на информация.
Модерното удостоверяване (общ термин за множество методи за удостоверяване и оторизация) използва токени за достъп OAuth, които не могат да бъдат използвани повторно за удостоверяване на други ресурси, освен тези, за които са издадени.
За да направи нещата още по-лоши, основното удостоверяване прави доста сложно активирането на многофакторното удостоверяване (MFA), което означава, че често то няма да се използва изобщо. Превключването на Modern Auth прави активирането на MFA много по-малко сложно, като по този начин позволява по-добра сигурност на Exchange Online.
Въпреки че има много причини зад преминаването към Modern Auth в Exchange Online, доклад на Guardicore добави още една към списъка през септември 2021г.
Докладът допълнително подчерта важността на този ход, показвайки как стотици хиляди идентификационни данни за домейн на Windows са изтекли в обикновен текст към външни домейни от неправилно конфигурирани имейл клиенти, използващи основно удостоверяване.
„Това усилие отне три години от първоначалната комуникация до сега и дори това не беше достатъчно време, за да се гарантира, че всички клиенти знаят за тази промяна и предприемат всички необходими стъпки. Стъпките в ИТ отделите и промяната могат да бъдат трудни, а пандемията промени приоритетите за много от нас, но всеки иска едно и също нещо: по-добра сигурност за своите потребители и данни“, добави Microsoft.
Можете да намерите повече информация относно подготовката за отмяната на принудителното основно удостоверяване през октомври и най-добрия начин да деактивирате основното удостоверяване предварително в публикацията в блога The Exchange Team, публикувана днес.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.