Microsoft отключит базовую аутентификацию Exchange Online в октябре

1 сентября Microsoft предупредила клиентов, что с 1 октября 2022 года она отключит базовую проверку подлинности Exchange Online для случайных клиентов по всему миру, чтобы повысить безопасность. В конце сентября 2021 года Microsoft уже предупреждала о предстоящем изменении .

По словам Microsoft , с 1 октября компания начнет случайным образом выбирать арендаторов и отключать доступ с базовой проверкой подлинности для следующих служб:

• MAPI;
• RPC (Remote Procedure Call);
• OAB (Offline Address Book);
• EWS (Exchange Web Services) ;
• POP и IMAP (параметры серверов входящих сообщений электронной почты);
• Exchange ActiveSync (EAS);
• Remote PowerShell.

Сообщение об изменении будет размещено в Центре сообщений Windows за 7 дней до начала развертывания. Каждый арендатор получит уведомление, когда базовая проверка подлинности будет отключена.

Клиенты, у которых эта схема аутентификации будет отключена, смогут повторно включить ее один раз для каждого протокола с помощью самодиагностики до конца декабря 2022 года.

Microsoft уже отключила базовую аутентификацию у миллионов клиентов, которые ее не использовали. Кроме того, компания отключила неиспользуемые протоколы у арендаторов, которые используют эту аутентификацию. Этим компания защищает пользователей от атак, которые эксплуатируют эту небезопасную схему аутентификации.

Базовая проверка подлинности (проверка подлинности прокси) — это схема проверки подлинности на основе HTTP, которую приложения используют для отправки на сервер учетных данных в виде простого текста. Кроме того, базовая аутентификация усложняет включение многофакторной аутентификации (МФА). Это позволяет злоумышленнику украсть учетные данные в MiTM-атаках через TLS или угадать их в Password Spraying-атаках.

Современная аутентификация использует токены авторизации OAuth, которые нельзя повторно использовать для аутентификации на других ресурсах, кроме тех, для которых они были выпущены.