3 Mayıs’ta Microsoft, Ekim 2022’den itibaren e-posta bağlantı protokü olan Basic Authentication yöntemini kaldırmak için hedeflerini açıkladı.
Basic Authentication Deprecation in Exchange Online – May 2022 Update – Microsoft Tech Community
E-postalar için basic authentication, kullanıcı hesaplarının güvenliğinin aşılmasına yönelik önemli bir vektör olarak yaşıyordu. Saldırganlar, basic authentication doğrulamasının sağladığı zayıf korumayı kullanarak hesaplara giriş yapmak için Password Sprey tekniklerini kullanmaktaydılar.
Anlaşılması Gereken Beş Büyük Nokta
Microsoft’un yazısındaki külçeler arasında beş önemli noktaya dikkat çektim:
- Etkilenen protokolleri kullanmayan milyonlarca kiracıda temel kimlik doğrulamasını zaten devre dışı bırakmaya başladılar “Milyonlarca” buradaki anahtar kelimedir diyebiliriz.Exchange Online servisinin büyüklüğünü anahtar kelimeden anlayabiliriz. 🙂
- Exchange Web Hizmetleri (EWS), Remote PowerShell, POP3, IMAP4, RPC üzerinden MAPI, Exchange ActiveSync ve OAB için temel kimlik doğrulamasının devre dışı bırakılması 1 Ekim’de başlayacak. Microsoft’un milyonlarca kiracının protokollerini kapatmak için tüm Office 365 veri merkezi bölgelerinde çalışması zaman alacak. 2022’nin sonunda tamamlanması bekleniyor, ancak protokol devre dışı bırakma 1 Ekim’den sonra herhangi bir zamanda kiracınıza devreye alınabilir, bu nedenle hazırlıklı olmanız gerekmekte.
- SMTP AUTH bu bir istisnadır ve bu protokol için temel kimlik doğrulama desteği şimdilik devam etmektedir. Ancak bu, Microsoft’un yakında SMTP AUTH için temel kimlik doğrulamasını devre dışı bırakacağını gösteren parlak ışıkları görmezden gelmek için bir neden değildir. Microsoft ne zamana kadar devam edeceklerini açıklamıyor, ancak SMTP AUTH bağlantılarını kullanarak e-posta gönderen komut dosyalarını ve cihazları Exchange Online’a mümkün olan en kısa sürede yükseltmeye başlamalısınız.
- Yerel Apple Mail uygulamasını Exchange Online posta kutularına bağlamak için Exchange ActiveSync kullanan son işletim sistemlerini çalıştıran Apple aygıtları modern kimlik doğrulamayı kullanabilir. Ancak, Exchange bağlantısının yapılandırması modern kimlik doğrulamasını belirtmelidir. Yeni bir aygıt mevcut bir yapılandırmayı eski bir aygıttan kopyalarsa (örneğin, birisi eski bir iPhone’u en son modele güncellediğinde) yapılandırma temel kimlik doğrulamasını belirtebilir. Bu cihazlar, Microsoft temel kimlik doğrulamasını engelledikten sonra Exchange Online’a bağlanamaz. Daha fazla bilgi için bu makaleyi okuyun ve hala temel kimlik doğrulaması kullanan aygıtları belirlemek için Apple aygıt bağlantılarını denetlemeyi düşünün.
Protokolleri Engellemek için Kimlik Doğrulama İlkelerini Kullanma
Bir diğer önemli nokta, kimlik doğrulama ilkelerinin artık seçilen protokoller için temel kimlik doğrulamasını engellemek için kullanılabilir olmasıdır. Proaktif olabilir ve saldırganların hesapların güvenliğini aşmak için kullanmayı sevdikleri POP3 ve IMAP4 gibi protokolleri engelleyebilirsiniz. İnsanların yaşlı ve savunmasız müşterileri kullanmasını durdurmak için atılacak iyi bir adımdır.
Bir kiracı yöneticisi, kullanıcı hesaplarını korumak için Azure AD koşullu erişim ilkeleri dağıttığı veya Set-CasMailbox cmdlet’i aracılığıyla posta kutuları için POP3 ve IMAP4 gibi protokolleri devre dışı bıraktığı için yanlış bir güvenlik duygusuna kapılabilir. Bunlar atılması gereken iyi adımlardır, ancak yalnızca bir hesap başarılı bir şekilde kimlik doğrulaması yaptıktan sonra devreye girer ve bu çok geç olabilir. Kimlik doğrulama ilkeleriyle protokollerin engellenmesi, saldırganların kimlik doğrulaması yapmasını (ve geçerli kimlik bilgilerine sahip olduklarını bilmesini) durdurur, bu da saldırı girişimlerinin kilitlenme noktasına geldiği anlamına gelir.
Ortamınızda Basic Authentication protokolünü kaptma zamanı geldi gibi duruyor.
