Menu dostępności

Microsoft wyłączy obsługę „Basic authentication” w Exchange w chmurze. Co to oznacza dla firm?

Klienci Microsoft mają czas do 1 stycznia 2023, by dostosować się do zmiany w sposobie uwierzytelniania do usług Microsoft Exchange. Od 1 października br. producent zaczął wyłączać podstawowe uwierzytelnianie (z ang. Basic authentication) dla określonych protokołów w Exchange Online.

Taką decyzję firma podjęła nie bez powodu. O tym, jak niebezpieczne może być nieświadome domyślne włączenie tej opcji oraz jak sprawdzić, które usługi na Exchange w chmurze korzystają z tej formy uwierzytelnienia, pisaliśmy tutaj na początku kwietnia.

Na swoim
blogu producent zamieścił dokładny harmonogram działań aż do momentu całkowitego wyłączenia usługi w styczniu 2023 roku.

źródło: Microsoft

Wkrótce firmy będą zmuszone do podjęcia odpowiednich działań, jeśli jeszcze tego nie zrobiły. „Od 1 października zaczniemy losowo wybierać tenanty i wyłączać podstawowy dostęp do uwierzytelniania dla MAPI, RPC, książki adresowej trybu offline (OAB), usług internetowych Exchange (EWS), POP, IMAP, Exchange ActiveSync (EAS) i zdalnego PowerShell. Wiadomość zostanie wysłana do Centrum wiadomości 7 dni wcześniej, a powiadomienia z pulpitu nawigacyjnego kondycji usług zostaną wysłane do każdego tenanta w dniu zmiany” – wspomina na blogu Microsoft.

Warto zauważyć, że nie będą wyłączane ani zmienianie żadne ustawienia uwierzytelniania dla protokołu SMTP.


Co ta zmiana oznacza dla firm?

Przede wszystkim zwiększy się bezpieczeństwo usług dla poczty :).

Ataki na usługi wykorzystujące uwierzytelnianie podstawowe należą do jednych z najczęściej przeprowadzanych przez hakerów.

Administratorzy w firmach powinni przejrzeć wszystkie wdrożone wcześniej aplikacje i usługi, które wykorzystują powyżej opisywany sposób uwierzytelnienia, i dostosować je do nowych wymagań. Jeśli już wyłączyli tę formę uwierzytelniania podstawowego, zmiana Microsoft nie wpłynie ani na tenanty, ani na użytkowników. Microsoft uspokaja klientów, którzy jeszcze tego nie zrobili, stwierdzeniem:

„Jeśli tego nie zrobiłeś (lub nie masz pewności), sprawdź w Centrum wiadomości najnowsze dane zawarte w miesięcznych raportach użytkowania, które wysyłamy co miesiąc od października 2021 roku. Dane za sierpień 2022 zostaną wysłane w ciągu kilku pierwszych dni września”.

Czy tak szybkie wdrożenie w życie powyższej decyzji ma związek z ostatnio wykrytymi atakami i zero-dayami na Exchange? Z pewnością po części tak.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...