Microsoft bugün müşterileri, 1 Ekim 2022’den itibaren Exchange Online güvenliğini iyileştirmek için dünya çapındaki rastgele kiracılarda temel kimlik doğrulamasını nihayet devre dışı bırakacağı konusunda uyardı.
Bugünkü duyuru, şirketin son üç yılda yayınladığı, ilki Türkiye’de yayınlanan çok sayıda hatırlatma ve uyarıyı takip ediyor. Eylül 2019.
Şirket, müşterilerden tekrar temel yetkilendirmeyi kapatmalarını istedi. Eylül 2021 ve Mayıs 2022 birçoğunun henüz istemcilerini ve uygulamalarını Modern Kimlik Doğrulamaya taşımadığını gördükten sonra.
“Yaklaşık üç yıl önceki ilk duyurumuzdan bu yana, milyonlarca kullanıcının temel yetkilendirmeden uzaklaştığını gördük ve onları proaktif olarak korumak için milyonlarca kiracıda bunu devre dışı bıraktık. Yine de işimiz bitmedi ve ne yazık ki kullanım Henüz sıfırda. Buna rağmen, daha önce devre dışı bırakılmamış kiracılar için birkaç protokol için temel yetkilendirmeyi kapatmaya başlayacağız,” dedi Exchange Ekibi bugün.
“1 Ekim’den itibaren, kiracıları rastgele seçmeye ve MAPI, RPC, Çevrimdışı Adres Defteri (OAB), Exchange Web Hizmetleri (EWS), POP, IMAP, Exchange ActiveSync (EAS) ve Remote PowerShell için temel kimlik doğrulama erişimini devre dışı bırakmaya başlayacağız. “
Redmond, bu hareketi duyuran bir mesajın, dağıtım başlamadan yedi gün önce Windows İleti Merkezi’ne gönderileceğini söyledi. Temel kimlik doğrulama devre dışı bırakıldığında, her kiracı Hizmet Durumu Panosu bildirimleri aracılığıyla bilgilendirilecektir.
Bu kimlik doğrulama şemasının devre dışı bırakılacağı kiracılarda, müşteriler self servis tanılamayı kullanarak Aralık 2022’nin sonuna kadar protokol başına bir kez yeniden etkinleştirebilecekler. Ancak, protokoller “temel kimlik doğrulama kullanımı için kalıcı olarak devre dışı bırakılacak” Ocak 2023’ün ilk haftasında, bir daha temel auth kullanmanın hiçbir yolu olmadan.
Şimdiye kadar Microsoft, onu kullanmayan milyonlarca kiracıda temel yetkilendirmeyi zaten devre dışı bıraktığını ve aynı zamanda bu güvenli olmayan yetkilendirme şemasını kullanan saldırılardan korumak için hala kullanan kiracılar içindeki kullanılmayan protokolleri devre dışı bıraktığını söylüyor.
Microsoft neden temel kimlik doğrulamasını devre dışı bırakıyor?
Temel kimlik doğrulama (diğer adıyla eski kimlik doğrulama veya proxy kimlik doğrulama), uygulamaların sunuculara, uç noktalara veya çeşitli çevrimiçi hizmetlere kimlik bilgilerini düz metin olarak göndermek için kullandığı HTTP tabanlı bir kimlik doğrulama şemasıdır.
Ne yazık ki bu, tehdit aktörlerinin TLS üzerinden ortadaki adam saldırılarında kimlik bilgilerini çalmasına veya parola püskürtme saldırılarında bunları tahmin etmesine olanak tanır. Sosyal mühendislik ve bilgi çalma kötü amaçlı yazılımları da dahil olmak üzere çeşitli taktiklerle temel kimlik doğrulama kullanan uygulamalardan net metin kimlik bilgilerini çalabilirler.
Modern Kimlik Doğrulama (birden çok kimlik doğrulama ve yetkilendirme yöntemi için bir şemsiye terim), verildikleri kaynakların yanı sıra diğer kaynaklarda kimlik doğrulaması yapmak için yeniden kullanılamayan OAuth erişim belirteçlerini kullanır.
İşleri daha da kötüleştirmek için, temel kimlik doğrulama, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeyi oldukça karmaşık hale getirir, bu da genellikle hiç kullanılmayacağı anlamına gelir. Modern Auth üzerinde geçiş yapmak, MFA’yı etkinleştirmeyi çok daha az karmaşık hale getirir ve böylece daha iyi Exchange Online güvenliğine olanak tanır.
Exchange Online’da Modern Auth’a geçmenin birçok nedeni olsa da, Eylül 2021’de bir Guardicore raporu listeye bir yenisini daha ekledi.
Nasıl olduğunu göstererek bu hareketin önemini daha da vurguladı. yüz binlerce Windows alan adı bilgisi düz metin olarak sızdırıldı temel auth kullanarak yanlış yapılandırılmış e-posta istemcileri tarafından harici etki alanlarına.
“Bu çaba, ilk iletişimden bugüne kadar üç yıl sürdü ve bu bile tüm müşterilerin bu değişiklikten haberdar olmasını ve gerekli tüm adımları atmasını sağlamak için yeterli zaman olmadı. BT ve değişim zor olabilir ve pandemi birçok kişi için öncelikleri değiştirdi. ama herkes aynı şeyi istiyor: kullanıcıları ve verileri için daha iyi güvenlik.”
Ekim ayındaki zorunlu temel kimlik doğrulamasının kullanımdan kaldırılmasına hazırlanmak ve temel yetkilendirmeyi önceden devre dışı bırakmanın en iyi yolu hakkında daha fazla bilgi bulabilirsiniz. blog yazısında Değişim Ekibi bugün yayınladı.