Microsoft schakelt Basic Auth uit voor Autodiscover in Exchange Online
Microsoft heeft vorige maand bij veel klanten Basic Authentication in Exchange Online uitgeschakeld en gaat dit ook voor het Autodiscover-protocol doen. Volgens Microsoft is Basic Authentication, waarbij er wordt ingelogd met alleen een gebruikersnaam en wachtwoord, een verouderde industriestandaard die kwetsbaar is voor aanvallen.
Vorige maand werd Basic Auth voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell door Microsoft bij klanten uitgezet. Het volgende protocol waar Microsoft dit voor wil doen is Autodiscover. Via Autodiscover kan de e-mailsoftware van gebruikers zichzelf configureren. Gebruikers hoeven alleen hun e-mailadres en wachtwoord op te geven, waarna via Autodiscover de overige gegevens worden opgehaald en ingesteld.
Het Autodiscover-protocol is geregeld het doelwit van password spraying-aanvallen. Door het uitschakelen van Basic Auth voor Outlook, Exchange ActiveSync en Exchange Web Services is er volgens Microsoft geen reden meer om Basic Auth voor Autodiscover ingeschakeld te houden. Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Er wordt hiermee direct begonnen bij klanten die dit jaar geen gebruik van Basic Auth hebben gemaakt. Voor de overige klanten zal dit begin 2023 het geval zijn. Microsoft benadrukt dat, net als met de andere protocollen, het Autodiscover-protocol zelf niet wordt uitgeschakeld, maar alleen de manier om het met alleen een gebruikersnaam en wachtwoord te gebruiken.
Reacties (13)
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.
17-11-2022, 12:43 door
Bitje-scheef
Autodiscover op zich leuk, maar heb het ook regelmatig hardnekkig mis zien gaan.
Door Anoniem:
Je koopt ook alleen gebruiksrecht! Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.
bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
17-11-2022, 15:34 door
CorChando
Door Anoniem:
Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.
bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.
bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
Wedden dat dit niet zo is. Bericht wat je aanhaalt gaat over iets heel anders.
Deze aanpassing (Basic Auth op Autodiscover uit) is nieuw en niet eerder aangekondigd. Uiteraard wel volledig in lijn der verwachting nu Microsoft eindelijk begonnen is met de beveiliging opschroeven en het na vele jaren afscheid nemen van een verouderde en onveilige oplossing.
Hopelijk wordt Conditional Access snel toegevoegd aan alle Microsoft 365 licenties. Absurd dat je nu extra moet betalen voor een extra stuk veiligheid waar zowel de klant als Microsoft bij gebaat zijn. Gelukkig hebben we met Security Defaults ook voor de kleinere tenants al een wat meer serieuze beveiliging, maar met name het kunnen uitsluiten van bepaalde regio's heeft een meerwaarde.
Door CorChando:
Hopelijk wordt Conditional Access snel toegevoegd aan alle Microsoft 365 licenties. Absurd dat je nu extra moet betalen voor een extra stuk veiligheid waar zowel de klant als Microsoft bij gebaat zijn.
Wat vooral jammer is dat is dat je een specialist moet hebben in het kiezen van de juiste licenties.Hopelijk wordt Conditional Access snel toegevoegd aan alle Microsoft 365 licenties. Absurd dat je nu extra moet betalen voor een extra stuk veiligheid waar zowel de klant als Microsoft bij gebaat zijn.
Soms worden er nieuwe licentievormen uitgebracht waardoor je ineens precies kunt krijgen wat je wilt voor minder geld,
maar als je er geen specialist bovenop hebt zitten dan mis je dat en betaal je teveel.
Bijvoorbeeld "Microsoft 365 Business Premium" biedt vanalles standaard wat je bij duurdere licenties nog moet bijkopen.
Door CorChando:
Wedden dat dit niet zo is. Bericht wat je aanhaalt gaat over iets heel anders.
Deze aanpassing (Basic Auth op Autodiscover uit) is nieuw en niet eerder aangekondigd. Uiteraard wel volledig in lijn der verwachting nu Microsoft eindelijk begonnen is met de beveiliging opschroeven en het na vele jaren afscheid nemen van een verouderde en onveilige oplossing.
Hopelijk wordt Conditional Access snel toegevoegd aan alle Microsoft 365 licenties. Absurd dat je nu extra moet betalen voor een extra stuk veiligheid waar zowel de klant als Microsoft bij gebaat zijn. Gelukkig hebben we met Security Defaults ook voor de kleinere tenants al een wat meer serieuze beveiliging, maar met name het kunnen uitsluiten van bepaalde regio's heeft een meerwaarde.
Wedden dat het wel zo is, want hoe anders kan Thunderbird al een oplossing voor OAuth 2.0 support hebben?Door Anoniem:
Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.
bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.
bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
Wedden dat dit niet zo is. Bericht wat je aanhaalt gaat over iets heel anders.
Deze aanpassing (Basic Auth op Autodiscover uit) is nieuw en niet eerder aangekondigd. Uiteraard wel volledig in lijn der verwachting nu Microsoft eindelijk begonnen is met de beveiliging opschroeven en het na vele jaren afscheid nemen van een verouderde en onveilige oplossing.
Hopelijk wordt Conditional Access snel toegevoegd aan alle Microsoft 365 licenties. Absurd dat je nu extra moet betalen voor een extra stuk veiligheid waar zowel de klant als Microsoft bij gebaat zijn. Gelukkig hebben we met Security Defaults ook voor de kleinere tenants al een wat meer serieuze beveiliging, maar met name het kunnen uitsluiten van bepaalde regio's heeft een meerwaarde.
Door Anoniem:
Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.
bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
Dit plan was al bekend sinds 2019 het is echter uitgesteld tot 2021 en toen in meerdere fases verdeeld.Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.
bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
https://techcommunity.microsoft.com/t5/exchange-team-blog/improving-security-together/ba-p/805892
En toen dit jaar september de berichtgeving dat alles uitgefaseerd wordt.
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-september/ba-p/3609437
Dat gezegd ben ik zeer blij dat ik na onze on-premise Exchange EOL situation de gehele hele organisatie 4 jaar terug al heb gedag laten zeggen naar alle Microsoft server diensten. Deze uitfasering had al jaren terug moeten gebeuren basic auth is zo lek als maar kan.
17-11-2022, 23:14 door
CorChando
Door Anoniem:
Door CorChando:
Wedden dat dit niet zo is. Bericht wat je aanhaalt gaat over iets heel anders.
Deze aanpassing (Basic Auth op Autodiscover uit) is nieuw en niet eerder aangekondigd. Uiteraard wel volledig in lijn der verwachting nu Microsoft eindelijk begonnen is met de beveiliging opschroeven en het na vele jaren afscheid nemen van een verouderde en onveilige oplossing.
Hopelijk wordt Conditional Access snel toegevoegd aan alle Microsoft 365 licenties. Absurd dat je nu extra moet betalen voor een extra stuk veiligheid waar zowel de klant als Microsoft bij gebaat zijn. Gelukkig hebben we met Security Defaults ook voor de kleinere tenants al een wat meer serieuze beveiliging, maar met name het kunnen uitsluiten van bepaalde regio's heeft een meerwaarde.
Wedden dat het wel zo is, want hoe anders kan Thunderbird al een oplossing voor OAuth 2.0 support hebben?Door Anoniem:
Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.
bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.
bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
Wedden dat dit niet zo is. Bericht wat je aanhaalt gaat over iets heel anders.
Deze aanpassing (Basic Auth op Autodiscover uit) is nieuw en niet eerder aangekondigd. Uiteraard wel volledig in lijn der verwachting nu Microsoft eindelijk begonnen is met de beveiliging opschroeven en het na vele jaren afscheid nemen van een verouderde en onveilige oplossing.
Hopelijk wordt Conditional Access snel toegevoegd aan alle Microsoft 365 licenties. Absurd dat je nu extra moet betalen voor een extra stuk veiligheid waar zowel de klant als Microsoft bij gebaat zijn. Gelukkig hebben we met Security Defaults ook voor de kleinere tenants al een wat meer serieuze beveiliging, maar met name het kunnen uitsluiten van bepaalde regio's heeft een meerwaarde.
Het heeft geen fluit met elkaar te maken, je had ook kunnen zeggen dat Renault Benzinemotoren maakt.
OAuth support is nodig om verbinding te maken met welke 365 dienst dan ook waar Basic Auth voor uitgeschakeld is.
17-11-2022, 23:16 door
CorChando
Door Anoniem:
https://techcommunity.microsoft.com/t5/exchange-team-blog/improving-security-together/ba-p/805892
En toen dit jaar september de berichtgeving dat alles uitgefaseerd wordt.
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-september/ba-p/3609437
Dat gezegd ben ik zeer blij dat ik na onze on-premise Exchange EOL situation de gehele hele organisatie 4 jaar terug al heb gedag laten zeggen naar alle Microsoft server diensten. Deze uitfasering had al jaren terug moeten gebeuren basic auth is zo lek als maar kan.
Door Anoniem:
Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.
bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
Dit plan was al bekend sinds 2019 het is echter uitgesteld tot 2021 en toen in meerdere fases verdeeld.Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.
bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
https://techcommunity.microsoft.com/t5/exchange-team-blog/improving-security-together/ba-p/805892
En toen dit jaar september de berichtgeving dat alles uitgefaseerd wordt.
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-september/ba-p/3609437
Dat gezegd ben ik zeer blij dat ik na onze on-premise Exchange EOL situation de gehele hele organisatie 4 jaar terug al heb gedag laten zeggen naar alle Microsoft server diensten. Deze uitfasering had al jaren terug moeten gebeuren basic auth is zo lek als maar kan.
Waar in die artikelen gaat het over Basic Auth uitschakelen voor Autodiscover?
Door CorChando:
Waar in die artikelen gaat het over Basic Auth uitschakelen voor Autodiscover?
Beheerders van de Exchange systemen zijn hier de afgelopen jaren (jaren ja) ruim voldoende over geïnformeerd door Microsoft. Dit is direct naar de beheerders gedaan en via verschillende media onder andere het web. Als er beheerders en of software leveranciers niet naar hebben geluisterd is het echt hun eigen te kort komingen hier is een keer echt geen Microsoft die de schuld kan krijgen. Hoe graag een bepaalde groep dit ook zou wille .Door Anoniem:
https://techcommunity.microsoft.com/t5/exchange-team-blog/improving-security-together/ba-p/805892
En toen dit jaar september de berichtgeving dat alles uitgefaseerd wordt.
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-september/ba-p/3609437
Dat gezegd ben ik zeer blij dat ik na onze on-premise Exchange EOL situation de gehele hele organisatie 4 jaar terug al heb gedag laten zeggen naar alle Microsoft server diensten. Deze uitfasering had al jaren terug moeten gebeuren basic auth is zo lek als maar kan.
Door Anoniem:
Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.
bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
Dit plan was al bekend sinds 2019 het is echter uitgesteld tot 2021 en toen in meerdere fases verdeeld.Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.
bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
https://techcommunity.microsoft.com/t5/exchange-team-blog/improving-security-together/ba-p/805892
En toen dit jaar september de berichtgeving dat alles uitgefaseerd wordt.
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-september/ba-p/3609437
Dat gezegd ben ik zeer blij dat ik na onze on-premise Exchange EOL situation de gehele hele organisatie 4 jaar terug al heb gedag laten zeggen naar alle Microsoft server diensten. Deze uitfasering had al jaren terug moeten gebeuren basic auth is zo lek als maar kan.
Waar in die artikelen gaat het over Basic Auth uitschakelen voor Autodiscover?
Door Anoniem:
Beheerders van de Exchange systemen zijn hier de afgelopen jaren (jaren ja) ruim voldoende over geïnformeerd door Microsoft. Dit is direct naar de beheerders gedaan en via verschillende media onder andere het web. Als er beheerders en of software leveranciers niet naar hebben geluisterd is het echt hun eigen te kort komingen hier is een keer echt geen Microsoft die de schuld kan krijgen. Hoe graag een bepaalde groep dit ook zou wille .
Beheerders van de Exchange systemen zijn hier de afgelopen jaren (jaren ja) ruim voldoende over geïnformeerd door Microsoft. Dit is direct naar de beheerders gedaan en via verschillende media onder andere het web. Als er beheerders en of software leveranciers niet naar hebben geluisterd is het echt hun eigen te kort komingen hier is een keer echt geen Microsoft die de schuld kan krijgen. Hoe graag een bepaalde groep dit ook zou wille .
Nogmaals, waar in de genoemde artikelen gaat het over Basic Auth voor Autodiscover?
Je kan blijven herhalen dat beheerders geïnformeerd zouden zijn, maar dat is nonsens. Er is pas afgelopen week voor het eerst over gecommuniceerd.
Je bent in de war met Basic Auth op andere diensten van Microsoft, daar is inderdaad al jaren over gecommuniceerd.
Door CorChando:
Nogmaals, waar in de genoemde artikelen gaat het over Basic Auth voor Autodiscover?
Je kan blijven herhalen dat beheerders geïnformeerd zouden zijn, maar dat is nonsens. Er is pas afgelopen week voor het eerst over gecommuniceerd.
Je bent in de war met Basic Auth op andere diensten van Microsoft, daar is inderdaad al jaren over gecommuniceerd.
Door Anoniem:
Beheerders van de Exchange systemen zijn hier de afgelopen jaren (jaren ja) ruim voldoende over geïnformeerd door Microsoft. Dit is direct naar de beheerders gedaan en via verschillende media onder andere het web. Als er beheerders en of software leveranciers niet naar hebben geluisterd is het echt hun eigen te kort komingen hier is een keer echt geen Microsoft die de schuld kan krijgen. Hoe graag een bepaalde groep dit ook zou wille .
Beheerders van de Exchange systemen zijn hier de afgelopen jaren (jaren ja) ruim voldoende over geïnformeerd door Microsoft. Dit is direct naar de beheerders gedaan en via verschillende media onder andere het web. Als er beheerders en of software leveranciers niet naar hebben geluisterd is het echt hun eigen te kort komingen hier is een keer echt geen Microsoft die de schuld kan krijgen. Hoe graag een bepaalde groep dit ook zou wille .
Nogmaals, waar in de genoemde artikelen gaat het over Basic Auth voor Autodiscover?
Je kan blijven herhalen dat beheerders geïnformeerd zouden zijn, maar dat is nonsens. Er is pas afgelopen week voor het eerst over gecommuniceerd.
Je bent in de war met Basic Auth op andere diensten van Microsoft, daar is inderdaad al jaren over gecommuniceerd.
Microsoft heeft het hier wel benoemd dat ze het overwegen om ook uit te schakelen nadat Basic Auth is uitgeschakeld voor de meeste tenants, dus opzich kon je er wel op wachten:
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-february-2021-update/ba-p/2111904
4 February 2021:
At this time, we are not including AutoDiscover, another protocol and endpoint used by Outlook. There are two reasons for this. First, AutoDiscover doesn’t provide access to user data; it only provides a pointer to the endpoint that the client should use to access data. Second, as long as a tenant has some EWS or Exchange ActiveSync (EAS) usage, AutoDiscover is necessary for client configuration. Once Basic Auth is disabled for the vast majority of tenants, we’ll consider disabling Basic Auth for AutoDiscover.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
