Microsoft предупреди клиентите днес, че най-накрая ще деактивира основното удостоверяване нa произволни клиенти по целия свят, за да подобри сигурността на Exchange Online от 1 октомври 2022г. Днешното съобщение следва множество напомняния и предупреждения, които компанията е издала през последните три години, като първото е публикувано през септември 2019г.

Компанията отново помоли клиентите да изключат основното удостоверяване през септември 2021г. и май 2022г., след като стана ясно, че много от тях тепърва ще преместват клиентите и приложенията си към Modern Authentication.

„От първото ни съобщение преди почти три години видяхме как милиони потребители се отдалечават от основното удостоверяване и го деактивирахме за милиони потребители, за да ги защитим проактивно. Все още обаче не сме приключили и за съжаление използването  още не е на нула. Въпреки това ние ще започнем да изключваме основното удостоверяване за няколко протокола за клиенти, които не са били деактивирани преди това“, каза днес екипът на Exchange.

„От 1 октомври ще започнем да избираме на случаен принцип клиенти и ще деактивираме основния достъп за удостоверяване за MAPI, RPC, офлайн адресна книга (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) и Remote PowerShell. “

Редмънд казва, че съобщение, обявяващо този ход, ще бъде публикувано в центъра за съобщения на Windows седем дни преди началото на внедряването. Всеки клиент ще бъде уведомен чрез известията на таблото за управление на изправността на услугата, когато основното удостоверяване е деактивирано.

При клиенти, където тази схема за удостоверяване ще бъде деактивирана, те все още ще могат да я активират отново веднъж за протокол, като използват диагностиката за самообслужване до края на декември 2022г. Въпреки това протоколите „ще бъдат деактивирани за основно използване на удостоверяване за постоянно“ през първата седмица на януари 2023г., без да можете отново да използвате основното удостоверяване.

Досега Microsoft каза, че вече е деактивирала основното удостоверяване за милиони потребители, които не го използват, и също така изключва неизползваните протоколи в за такива, които все още го използват, за да ги защити от атаки, използващи тази несигурна схема за удостоверяване.

Защо Microsoft деактивира основното удостоверяване?

Основното удостоверяване (известно още като удостоверяване на наследство или удостоверяване на прокси) е базирана на HTTP схема за удостоверяване, която приложенията използват за изпращане на идентификационни данни в обикновен текст до сървъри, крайни точки или различни онлайн услуги.

За съжаление, това позволява на злонамерени хакери да откраднат идентификационни данни при атаки от типа човек по средата през TLS или да ги отгатнат при атаки с изсипване на пароли. Те могат да откраднат идентификационни данни с ясен текст от приложения, използващи основно удостоверяване чрез няколко тактики, включително социално инженерство и зловреден софтуер за кражба на информация.

Модерното удостоверяване (общ термин за множество методи за удостоверяване и оторизация) използва токени за достъп OAuth, които не могат да бъдат използвани повторно за удостоверяване на други ресурси, освен тези, за които са издадени.

За да направи нещата още по-лоши, основното удостоверяване прави доста сложно активирането на многофакторното удостоверяване (MFA), което означава, че често то няма да се използва изобщо. Превключването на Modern Auth прави активирането на MFA много по-малко сложно, като по този начин позволява по-добра сигурност на Exchange Online.

Въпреки че има много причини зад преминаването към Modern Auth в Exchange Online, доклад на Guardicore добави още една към списъка през септември 2021г.

Докладът допълнително подчерта важността на този ход, показвайки как стотици хиляди идентификационни данни за домейн на Windows са изтекли в обикновен текст към външни домейни от неправилно конфигурирани имейл клиенти, използващи основно удостоверяване.

„Това усилие отне три години от първоначалната комуникация до сега и дори това не беше достатъчно време, за да се гарантира, че всички клиенти знаят за тази промяна и предприемат всички необходими стъпки. Стъпките в ИТ отделите и промяната могат да бъдат трудни, а пандемията промени приоритетите за много от нас, но всеки иска едно и също нещо: по-добра сигурност за своите потребители и данни“, добави Microsoft.

Можете да намерите повече информация относно подготовката за отмяната на принудителното основно удостоверяване през октомври и най-добрия начин да деактивирате основното удостоверяване предварително в публикацията в блога The Exchange Team, публикувана днес.