Veel organisaties die van Exchange Online gebruikmaken zijn het doelwit van password spraying via basic authenticatie, zo claimt Microsoft. Het techbedrijf, dat Basic Auth in Exchange Online gaat uitschakelen, adviseert organisaties om password spraying via authenticatie policies tegen te gaan.
Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd.
Volgens Microsoft richten aanvallers zich daarbij vooral op protocollen zoals SMTP, IMAP en POP die geen multifactorauthenticatie ondersteunen. Gebruikers loggen in dit geval alleen in via een gebruikersnaam en wachtwoord. "De enige reden dat we Basic Auth in Exchange Online uitschakelen is om je gebruikers en data te beschermen. Het bewijs dat ik dagelijks zie maakt duidelijk dat password spray-aanvallen vaker voorkomen", zegt Microsofts Greg Taylor.
Door middel van authenticatie policies zijn password spray-aanvallen grotendeels te voorkomen, aldus Taylor. Zo zouden alleen bekende accounts bij specifieke protocollen Basic Auth mogen gebruiken en moet het gebruik van Basic Auth voor alle andere accounts worden geblokkeerd. Iets dat eenvoudig is in te stellen, zo stelt Taylor.
Microsoft is deze maand begonnen om bij willekeurige Exchange Online-klanten die nog van Basic Auth voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell gebruikmaken het protocol uit te zetten. Klanten worden hier zeven dagen van tevoren over ingelicht en op de dag dat de aanpassing plaatsvindt.
Het kan zeer grote gevolgen voor organisaties hebben als personeel niet meer kan e-mailen. Daarom biedt Microsoft een optie waarbij klanten Basic Auth via een diagnostische tool weer zelf kunnen inschakelen. Basic Auth blijft dan tot eind december van dit jaar werken. In de eerste week van 2023 wordt de standaard permanent uitgeschakeld en is het gebruik van Basic Auth niet meer mogelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.