Microsoft heeft vorige maand bij veel klanten Basic Authentication in Exchange Online uitgeschakeld en gaat dit ook voor het Autodiscover-protocol doen. Volgens Microsoft is Basic Authentication, waarbij er wordt ingelogd met alleen een gebruikersnaam en wachtwoord, een verouderde industriestandaard die kwetsbaar is voor aanvallen.
Vorige maand werd Basic Auth voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell door Microsoft bij klanten uitgezet. Het volgende protocol waar Microsoft dit voor wil doen is Autodiscover. Via Autodiscover kan de e-mailsoftware van gebruikers zichzelf configureren. Gebruikers hoeven alleen hun e-mailadres en wachtwoord op te geven, waarna via Autodiscover de overige gegevens worden opgehaald en ingesteld.
Het Autodiscover-protocol is geregeld het doelwit van password spraying-aanvallen. Door het uitschakelen van Basic Auth voor Outlook, Exchange ActiveSync en Exchange Web Services is er volgens Microsoft geen reden meer om Basic Auth voor Autodiscover ingeschakeld te houden. Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Er wordt hiermee direct begonnen bij klanten die dit jaar geen gebruik van Basic Auth hebben gemaakt. Voor de overige klanten zal dit begin 2023 het geval zijn. Microsoft benadrukt dat, net als met de andere protocollen, het Autodiscover-protocol zelf niet wordt uitgeschakeld, maar alleen de manier om het met alleen een gebruikersnaam en wachtwoord te gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.