Microsoft, 1 Ekim 2022’den itibaren Exchange Online’da güvenliğini iyileştirmek için Basic Auth’un devre dışı bırakacağı konusunda uyardı. Microsoft müşterilerine Modern Authentication’a geçmelerini önerdi.
Yapılan açıklamada “ilk duyurumuzdan bu yana yaklaşık üç yıl geçti ve milyonlarca kullanıcının Basic Auth’ı kullanmadığı gördük ve onları proaktif olarak korumak için milyonlarca müşteride de devre dışı bıraktık. Ancak henüz Modern Authentication’a geçmeyen müşterileriniz var onların sorun yaşamaması için bu ay geçişlerini tamamlamaları için uyarıyoruz. 1 Ekim’den itibaren, müşterileri rastgele seçmeye ve MAPI, RPC, Çevrimdışı Adres Defteri (OAB), Exchange Web Hizmetleri (EWS), POP, IMAP, Exchange ActiveSync (EAS) ve Remote PowerShell için Basic Auth erişimini devre dışı bırakmaya başlayacağız” dedi. Dağıtım başlamadan yedi gün önce Windows İleti Merkezi’ne gönderileceği ve Basic Auth doğrulama devre dışı bırakıldığında her müşteri Hizmet Durumu Panosu bildirimleri aracılığıyla bilgilendirileceği belirtildi.
Basic Auth devre dışı bırakılan müşteriler self servis tanılamayı kullanarak Aralık 2022’nin sonuna kadar protokol başına bir kez olmak şartıyla yeniden etkinleştirebilecekler ancak Ocak 2023’ün ilk haftasında tamamen devre dışı bırakılacak.
Microsoft neden Basic Auth’ı devre dışı bırakıyor?
Temel kimlik doğrulama (Basic Auth) uygulamaların sunuculara, uç noktalara veya çeşitli çevrimiçi hizmetlere kimlik bilgilerini düz metin olarak göndermek için kullandığı HTTP tabanlı bir kimlik doğrulama yöntemi. Bu saldırganların TLS üzerinden man-in-the-middle saldırılarında kimlik bilgilerini çalmasına veya password spray saldırılarıyla bunları tahmin etmesine olanak tanıyor. Modern Authentication doğrulama verildikleri kaynakların yanı sıra diğer kaynaklarda kimlik doğrulaması yapmak için yeniden kullanılamayan OAuth erişimi kullanıyor, bu şifrelerin çalınmasını zorlaştırıyor.
Kaynak: bleepingcomputer.com