Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Penelitian Menunjukkan Alat Keamanan Data Gagal Melawan Ransomware 60%

by

Hari ini, penyedia keamanan data, Titaniam Inc., merilis State of Data Exfiltration & Extortion Report, yang mengungkapkan bahwa meskipun lebih dari 70% organisasi memiliki serangkaian solusi pencegahan, deteksi, dan pemulihan, hampir 40% telah terkena serangan ransomware dalam setahun terakhir.

Temuan menunjukkan bahwa alat keamanan data tradisional, seperti alat pencadangan dan pemulihan yang aman, solusi yang menawarkan enkripsi saat istirahat dan dalam perjalanan, tokenisasi dan penyembunyian data, gagal melindungi data perusahaan dari ancaman ransomware sebanyak 60%.

Di atas segalanya, penelitian ini menyoroti bahwa organisasi tidak dapat bergantung pada alat keamanan data tradisional saja untuk bertahan melawan eksfiltrasi data dan serangan ransomware pemerasan ganda, mereka harus dapat mengenkripsi data yang sedang digunakan untuk menghentikan pelaku jahat di jalur mereka.

Masalah dengan alat keamanan data tradisional

Masalah dengan alat keamanan data tradisional bukan karena mereka tidak memiliki langkah-langkah keamanan yang kuat, tetapi penyerang dapat menghindari kontrol ini dengan mencuri kredensial untuk mendapatkan akses istimewa ke aset data penting.

“Dalam skenario ini, saat penyerang bergerak melalui jaringan, mereka dapat menggunakan kredensial mereka untuk mendekripsi, mendetokenisasi, dan membuka kedok data seperti yang dilakukan pengguna atau administrator yang sah saat mereka melakukan pekerjaan sehari-hari. Setelah data didekripsi, penyerang mengekstraknya dan menggunakannya sebagai pengungkit untuk pemerasan,” kata Raman.

Satu-satunya cara untuk bertahan melawan intrusi khas serangan ransomware modern adalah bagi organisasi untuk menyebarkan solusi keamanan data dengan enkripsi yang sedang digunakan. Enkripsi sedang digunakan dapat membantu mengaburkan data sehingga tidak dapat dieksfiltrasi oleh penyerang yang telah memperoleh akses istimewa ke sumber daya perusahaan.

Pasar enkripsi data

Kebutuhan akan perlindungan data yang ditingkatkan telah berkontribusi pada pertumbuhan yang signifikan di pasar enkripsi data, yang menurut peneliti bernilai $9,43 miliar pada tahun 2020 dan diperkirakan akan mencapai nilai $42,3 miliar pada tahun 2030, karena lebih banyak organisasi berusaha untuk mencegah pengguna yang tidak sah.

Sumber: VentureBeat

Malware Penipuan Pulsa Menonaktifkan WiFi Anda untuk Memaksa Langganan Premium

by

Microsoft memperingatkan bahwa malware penipuan pulsa adalah salah satu ancaman paling umum di Android dan berkembang dengan fitur yang memungkinkan berlangganan otomatis ke layanan premium.

Penipuan pulsa adalah bagian dari penipuan penagihan, di mana pelaku ancaman menipu korban untuk menelepon atau mengirim SMS ke nomor premium.

Perbedaannya adalah penipuan pulsa tidak bekerja melalui WiFi dan memaksa perangkat untuk terhubung ke jaringan operator seluler.

Wireless Application Protocol

Menonaktifkan koneksi WiFi

Malware dimulai dengan mengumpulkan data di negara pelanggan dan jaringan seluler, di mana Android tidak memerlukan izin dari pengguna.

Langkah kuncinya adalah menonaktifkan koneksi WiFi dan memaksa perangkat untuk menggunakan jaringan operator. Di Android 9 (API level 28) atau lebih rendah, ini dimungkinkan dengan tingkat izin perlindungan normal.

Untuk tingkat API yang lebih tinggi, ada fungsi ‘requestNetwork’ yang berada di bawah izin CHANGE_NETWORK_STATE, yang juga dilengkapi dengan tingkat perlindungan normal.

Malware penipuan pulsa kemudian menggunakan ‘NetworkCallbak’ untuk memantau status jaringan dan mendapatkan variabel ‘jenis jaringan’ untuk mengikat proses ke jaringan tertentu, sehingga memaksa perangkat untuk mengabaikan koneksi WiFi yang tersedia dan menggunakan operator seluler.

Satu-satunya cara bagi pengguna untuk menghindari ini adalah dengan menonaktifkan data seluler secara manual.

Jika operator seluler korban ada dalam daftar target, malware melanjutkan untuk mengambil daftar situs web yang menyediakan layanan premium dan mencoba berlangganan ke situs tersebut secara otomatis.

Meskipun ada beberapa skenario berlangganan, pengguna biasanya mengklik elemen HTML dan kemudian mengirim kode verifikasi ke server.

Beberapa operator menyelesaikan langganan hanya setelah memeriksa bahwa pengguna mengesahkannya melalui kode OTP yang dikirimkan melalui SMS, HTTP, atau USSD (Data Layanan Tambahan Tidak Terstruktur), dengan dua yang pertama lebih populer.

Pengembang malware memiliki subset dari tiga panggilan API yang dapat mereka gunakan untuk membungkam notifikasi SMS dari aplikasi lain:

  • cancelAllNotifications() untuk memberi tahu manajer notifikasi agar mengabaikan semua notifikasi
  • cancelNotification(String key) untuk memberi tahu manajer notifikasi agar mengabaikan satu notifikasi
  • cancelNotifications(String [] keys) untuk memberi tahu manajer notifikasi agar mengabaikan beberapa notifikasi sekaligus

Pengembang malware penipuan tol juga menerapkan mekanisme untuk menjaga perilaku jahat sebijaksana mungkin. Salah satu caranya adalah dengan menjaga agar malware tetap inert jika jaringan seluler perangkat yang terinfeksi tidak ada dalam daftar.

Metode lain adalah dengan menggunakan pemuatan kode dinamis, yang memungkinkan kode tertentu untuk memuat hanya jika kondisi tertentu terpenuhi. Ini membuat pendeteksian malware menjadi lebih sulit, terutama pada analisis statis.

Menjauhkan malware penipuan pulsa dari perangkat Anda adalah dengan memeriksa apakah sumber untuk mengunduh sumber Android Anda dapat dipercaya, seperti Google Play Store.

Selain itu, melihat izin yang diminta saat penginstalan adalah cara yang baik untuk mengurangi risiko malware merajalela di perangkat Anda serta melindungi privasi Anda.

Microsoft juga menyarankan pengguna untuk tidak mengizinkan aplikasi membaca atau mengirim SMS, akses ke pemberitahuan, atau aksesibilitas kecuali izin ini diperlukan untuk fungsi normal.

Sumber: BleepingComputer

Geng peretas masuk ke pembuat chip Silicon Valley AMD karena kata sandi pekerja yang mengerikan

by

Sebuah pembangkit tenaga listrik teknologi Silicon Valley dilaporkan menghadapi pelanggaran data, sebagian, karena penggunaan kata sandi yang mengerikan oleh karyawan seperti, eh, “kata sandi” dan “123456.”

AMD, produsen microchip yang berkantor pusat di Santa Clara, menjadi mangsa kru peretas yang semakin terkenal yang dikenal sebagai RansomHouse, menurut laporan oleh TechCrunch dan Restore Privacy.

Raksasa semikonduktor mengkonfirmasi pembobolan digital dalam sebuah pernyataan kepada media. “Pada 27 Juni, kami mengetahui bahwa organisasi penjahat dunia maya dengan nama RansomHouse mengklaim memiliki data yang dicuri dari AMD,” bunyi pernyataan yang dikirim ke SFGATE pada Kamis pagi. “Kami sedang menyelidiki klaim tersebut dan sedang melakukan kontak dengan petugas penegak hukum.”

Perusahaan tidak menjawab ketika ditanya mengapa karyawan di pabrik multinasional tidak tunduk pada aturan perlindungan kata sandi standar, seperti mengubah kata sandi secara teratur atau harus memasukkan angka dan simbol di dalam kata sandi.

“Sayang sekali itu adalah kata sandi asli yang digunakan oleh karyawan AMD, tetapi yang lebih memalukan bagi Departemen Keamanan AMD yang mendapat pembiayaan signifikan sesuai dengan dokumen yang kami dapatkan — semua berkat kata sandi ini,” sebuah catatan yang diterbitkan oleh RansomHouse berbunyi, menurut TechCrunch.

Produsen microchip Silicon Valley telah lama menjadi saingan utama Intel di pasar CPU; itu seharusnya memiliki beberapa kemiripan keamanan kata sandi mengingat perawakannya.

Christofer Hoff, seorang eksekutif di layanan pengelola kata sandi LastPass, mengatakan kepada SFGATE bahwa pelanggaran seperti ini “mudah dihindari bahkan jika aturan kebersihan dan keamanan yang paling dasar diikuti.”

Tampaknya juga lebih banyak pelanggaran ini sedang dalam proses. RansomHouse telah mendapatkan reputasi untuk menargetkan organisasi besar, membocorkan data dari salah satu pedagang grosir terbesar di Afrika dan agen pemerintah Kanada sejak akhir tahun lalu.

Sumber:

Berbagai macam router sedang diserang oleh malware baru yang luar biasa canggih

by

Sebuah kelompok peretas yang luar biasa canggih telah menghabiskan hampir dua tahun menginfeksi berbagai router di Amerika Utara dan Eropa dengan malware yang mengambil kendali penuh dari perangkat terhubung yang menjalankan Windows, macOS, dan Linux, para peneliti melaporkan pada hari Selasa.

Peneliti dari Black Lotus Labs Lumen Technologies mengatakan mereka telah mengidentifikasi setidaknya 80 target yang terinfeksi oleh malware tersembunyi, menginfeksi router yang dibuat oleh Cisco, Netgear, Asus, dan DrayTek. Dijuluki ZuoRAT, Trojan akses jarak jauh adalah bagian dari kampanye peretasan yang lebih luas yang telah ada setidaknya sejak kuartal keempat tahun 2020 dan terus beroperasi.

Penemuan malware yang dibuat khusus yang ditulis untuk arsitektur MIPS dan dikompilasi untuk router kantor kecil dan kantor rumahan adalah signifikan, terutama mengingat jangkauan kemampuannya.

Kemampuannya untuk menghitung semua perangkat yang terhubung ke router yang terinfeksi dan mengumpulkan pencarian DNS dan lalu lintas jaringan yang mereka kirim dan terima dan tetap tidak terdeteksi adalah ciri dari aktor ancaman yang sangat canggih.

Kampanye ini terdiri dari setidaknya empat bagian malware, tiga di antaranya ditulis dari awal oleh aktor ancaman. Bagian pertama adalah ZuoRAT berbasis MIPS, yang sangat mirip dengan malware Mirai Internet of Things yang mencapai serangan penolakan layanan terdistribusi yang memecahkan rekor yang melumpuhkan beberapa layanan Internet selama berhari-hari. ZuoRAT sering terinstal dengan mengeksploitasi kerentanan yang belum ditambal di perangkat SOHO.

Setelah diinstal, ZuoRAT menghitung perangkat yang terhubung ke router yang terinfeksi. Pelaku ancaman kemudian dapat menggunakan pembajakan DNS dan pembajakan HTTP untuk menyebabkan perangkat yang terhubung menginstal malware lain.

Dua dari malware tersebut—dijuluki CBeacon dan GoBeacon—dibuat khusus, dengan yang pertama ditulis untuk Windows dalam C++ dan yang terakhir ditulis dalam Go untuk kompilasi silang di perangkat Linux dan macOS. Untuk fleksibilitas, ZuoRAT juga dapat menginfeksi perangkat yang terhubung dengan alat peretas Cobalt Strike yang banyak digunakan.

ZuoRAT dapat memutar infeksi ke perangkat yang terhubung menggunakan salah satu dari dua metode:

  • Pembajakan DNS, yang menggantikan alamat IP yang valid terkait dengan domain seperti Google atau Facebook dengan yang berbahaya yang dioperasikan oleh penyerang.
  • Pembajakan HTTP, di mana malware memasukkan dirinya ke dalam koneksi untuk menghasilkan kesalahan 302 yang mengarahkan pengguna ke alamat IP yang berbeda.

Black Lotus Labs mengatakan infrastruktur komando dan kontrol yang digunakan dalam kampanye sengaja dibuat rumit dalam upaya untuk menyembunyikan apa yang terjadi. Satu set infrastruktur digunakan untuk mengontrol router yang terinfeksi, dan infrastruktur lainnya dicadangkan untuk perangkat yang terhubung jika kemudian terinfeksi.

Para peneliti mengamati router dari 23 alamat IP dengan koneksi terus-menerus ke server kontrol yang mereka yakini sedang melakukan survei awal untuk menentukan apakah target menarik.

Penemuan kampanye yang sedang berlangsung ini adalah yang paling penting yang mempengaruhi router SOHO sejak VPNFilter, malware router yang dibuat dan disebarkan oleh pemerintah Rusia yang ditemukan pada tahun 2018. Router sering diabaikan, terutama di era bekerja dari rumah. Sementara organisasi sering memiliki persyaratan ketat untuk perangkat apa yang diizinkan untuk terhubung, hanya sedikit patch mandat atau perlindungan lain untuk router perangkat.

Seperti kebanyakan malware router, ZuoRAT tidak dapat bertahan dari reboot. Cukup restart perangkat yang terinfeksi akan menghapus eksploitasi ZuoRAT awal, yang terdiri dari file yang disimpan dalam direktori sementara. Namun, untuk pulih sepenuhnya, perangkat yang terinfeksi harus direset ke setelan pabrik.

Selengkapnya: Arstechnica

Peringatan Microsoft: Malware yang menargetkan Linux ini baru saja mendapat pembaruan besar

by

Microsoft mengatakan telah melihat “pembaruan penting” untuk malware yang menargetkan server Linux untuk menginstal malware cryptominer.

Microsoft telah memanggil pekerjaan baru-baru ini dari apa yang disebut kelompok “8220 gang”, yang baru-baru ini terlihat mengeksploitasi bug kritis yang memengaruhi Server dan Pusat Data Atlassian Confluence, yang dilacak sebagai CVE-2022-26134.

Atlassian mengungkapkan bug pada 2 Juni dan dalam seminggu, perusahaan keamanan Check Point menemukan bahwa 8220 geng menggunakan kelemahan Atlassian untuk menginstal malware pada sistem Linux. Kelompok ini juga menargetkan sistem Windows menggunakan cacat Atlassian untuk menyuntikkan skrip ke dalam proses memori PowerShell.

CISA telah memperingatkan agen federal untuk menambalnya pada 6 Juni dan sampai saat itu memblokir semua akses internet ke produk tersebut.

Geng 8220 telah aktif sejak 2017, menurut kelompok Intelijen Talos Cisco, yang menggambarkannya sebagai aktor ancaman penambangan Monero berbahasa Cina yang C2-nya sering berkomunikasi melalui port 8220, sehingga mendapatkan namanya. Pada tahap itu mereka menargetkan kerentanan gambar Apache Struts2 dan Docker untuk menyusup ke server perusahaan.

Menurut Microsoft, setelah geng 8220 memperoleh akses awal melalui CVE-2022-26134, ia mengunduh loader ke sistem yang mengubah konfigurasinya untuk menonaktifkan layanan keamanan, mengunduh cryptominer, menetapkan kegigihan pada jaringan, dan kemudian memindai port pada jaringan untuk menemukan server lain.

Microsoft memperingatkan admin untuk mengaktifkan pengaturan perlindungan tamper Defender for Endpoint karena loader menghapus file log dan menonaktifkan pemantauan cloud dan alat keamanan.

Loader mengunduh pwnRig cryptominer (v1.41.9) dan bot IRC menjalankan perintah dari server C2. Itu bertahan dari reboot dengan membuat tugas penjadwalan melalui cronjob atau skrip yang berjalan setiap 60 detik sebagai perintah nohup atau “no hangup”.

Loader menggunakan alat pemindai port IP “masscan” untuk menemukan server SSH lain di jaringan, dan kemudian menggunakan alat brute force SSH berbasis GoLang “spirit” untuk menyebar. Ini juga memindai disk lokal untuk mencari kunci SSH untuk bergerak secara lateral dengan menghubungkan ke host yang dikenal,” Microsoft menjelaskan.

Sumber: ZDnet

Google memblokir lusinan domain yang digunakan oleh grup hack-for-hire

by

Grup Analisis Ancaman (TAG) Google telah memblokir lusinan domain dan situs web berbahaya yang digunakan oleh grup peretasan dalam serangan yang menargetkan target berisiko tinggi di seluruh dunia.

Tidak seperti vendor pengawasan komersial yang alatnya digunakan dalam serangan oleh klien, operator hack-for-hire terlibat langsung dalam serangan dan biasanya dipekerjakan oleh perusahaan yang menawarkan layanan tersebut. Dalam beberapa kasus, mereka juga bisa menjadi aktor ancaman “bebas”.

Mereka dipekerjakan karena keterampilan meretas mereka oleh klien yang tidak memilikinya atau yang ingin menyembunyikan identitas mereka jika serangan terdeteksi dan diselidiki.

Kelompok hack-for-hire menargetkan individu dan organisasi dalam pencurian data dan kampanye spionase perusahaan, dengan korban masa lalu termasuk politisi, jurnalis, aktivis hak asasi manusia dan politik, dan berbagai pengguna berisiko tinggi lainnya dari seluruh dunia.

Saat ini, Google TAG melacak beberapa perusahaan hack-for-hire dari beberapa negara dan kampanye mereka, termasuk India, Rusia, dan Uni Emirat Arab.

Misalnya, satu kelompok mata-mata sewaan dari India yang terkait dengan penyedia keamanan ofensif Appin dan Belltrox dan dilacak selama dekade terakhir telah mengatur kampanye phishing kredensial terhadap organisasi di sektor pemerintah, perawatan kesehatan, dan telekomunikasi di Arab Saudi, Uni Emirat Arab (UEA). ), dan Bahrain.

Reuters juga melaporkan hari ini bahwa tentara bayaran dunia maya India juga telah mencoba meretas “setidaknya 75 perusahaan AS dan Eropa, tiga lusin kelompok advokasi dan media dan banyak eksekutif bisnis Barat,” serta ke kotak masuk email milik pengacara target, ” sekitar 1.000 pengacara di 108 firma hukum yang berbeda.”

Aktor ancaman hack-for-hire lainnya dari Rusia (dikenal sebagai Void Balaur) dikaitkan dengan serangan phishing kredensial terhadap jurnalis, politisi, dan berbagai LSM dan organisasi nirlaba di seluruh Eropa (termasuk Rusia).

Daftar harga Void Balaur (Google TAG)

Last but not least, kelompok hack-for-hire berbasis di UEA yang terkait dengan pengembang H-Worm dan yang aktivitasnya juga terlihat oleh Amnesty International, terutama memfokuskan serangannya pada pemerintah, pendidikan, dan organisasi politik di Timur Tengah dan Utara. Afrika.

Huntley juga membagikan daftar lengkap domain berbahaya yang diblokir oleh Google saat menyelidiki aktivitas kelompok peretasan dari India, Rusia, dan UEA.

Tim pakar keamanan Google TAG juga melacak daftar panjang pelaku ancaman yang didukung negara dan bermotivasi finansial, termasuk lusinan vendor pengawasan yang menjual spyware mereka kepada pemerintah di seluruh dunia.

“TAG secara aktif melacak lebih dari 30 vendor dengan berbagai tingkat kecanggihan dan eksposur publik yang menjual eksploitasi atau kemampuan pengawasan kepada aktor yang didukung pemerintah,” kata anggota Google TAG Clement Lecigne dan Christian Resell baru-baru ini.

Sumber: Bleeping Computer

CISA memperingatkan peretas yang mengeksploitasi kerentanan PwnKit Linux

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan kerentanan Linux dengan tingkat keparahan tinggi yang dikenal sebagai PwnKit ke daftar bug yang dieksploitasi di alam liar.

Kelemahan keamanan, yang diidentifikasi sebagai CVE-2021-4034, ditemukan di komponen pkexec Polkit yang digunakan oleh semua distribusi utama (termasuk Ubuntu, Debian, Fedora, dan CentOS).

PwnKit adalah bug kerusakan memori yang dapat dimanfaatkan oleh pengguna yang tidak memiliki hak istimewa untuk mendapatkan hak akses root penuh pada sistem Linux dengan konfigurasi default.

Peneliti di keamanan informasi Qualys yang menemukannya juga menemukan bahwa asalnya kembali ke komitmen awal pkexec, yang berarti memengaruhi semua versi Polkit. Itu juga telah bersembunyi di depan mata selama lebih dari 12 tahun sejak rilis pertama pkexec pada Mei 2009.

Kode eksploitasi proof-of-concept (PoC) yang andal telah dibagikan secara online kurang dari tiga jam setelah Qualys menerbitkan detail teknis untuk PwnKit.

Qualys mendesak admin Linux untuk mempercepat pengamanan server yang rentan menggunakan patch yang dirilis oleh tim pengembangan Polkit di repositori GitLab mereka.

Ini bahkan lebih mendesak karena, menurut nasihat Qualys, eksploitasi bug eskalasi hak istimewa PwnKit dimungkinkan tanpa meninggalkan jejak pada sistem yang disusupi.

Badan keamanan siber AS juga memberi semua lembaga Federal Civilian Executive Branch Agencies (FCEB) tiga minggu, hingga 18 Juli, untuk menambal server Linux mereka terhadap PwnKit dan memblokir upaya eksploitasi.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan oleh CISA pada bulan November untuk mengurangi risiko bug yang diketahui dieksploitasi di seluruh jaringan federal AS, lembaga FCEB harus mengamankan sistem mereka dari bug yang ditambahkan ke Katalog Kerentanan yang Diketahui Tereksploitasi (KEV).

Meskipun arahan ini hanya berlaku untuk agen federal, CISA juga sangat mendesak semua organisasi AS dari sektor swasta dan publik untuk memprioritaskan perbaikan bug ini.

Mengikuti saran agensi harus mengurangi serangan yang dapat ditargetkan oleh aktor ancaman dalam serangan yang dirancang untuk membahayakan server yang belum ditambal dan menembus jaringan yang rentan.

CISA juga telah mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan Microsoft Exchange untuk mempercepat peralihan dari metode otentikasi warisan Basic Auth ke alternatif Auth Modern.

Agen FCEB juga disarankan untuk memblokir Basic auth setelah bermigrasi ke Modern Auth karena mempersulit pelaku ancaman untuk melakukan serangan password spray dan credential stuffing.

Sumber: Bleeping Computer

CISA memperingatkan organisasi untuk beralih ke Exchange Online Modern Auth hingga Oktober

by

CISA telah mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan platform email cloud Exchange Microsoft untuk mempercepat peralihan dari metode otentikasi warisan Otentikasi Dasar tanpa dukungan otentikasi multifaktor (MFA) ke alternatif Otentikasi Modern.

Basic Auth (otentikasi proxy) adalah skema autentikasi berbasis HTTP yang digunakan oleh aplikasi untuk mengirim kredensial dalam teks biasa ke server, titik akhir, atau layanan online.

Alternatifnya, Modern Auth (Active Directory Authentication Library dan otentikasi berbasis token OAuth 2.0), menggunakan token akses OAuth dengan masa pakai terbatas yang tidak dapat digunakan kembali untuk mengautentikasi sumber daya lain selain yang dikeluarkan untuknya.

Aplikasi yang menggunakan Auth Dasar memungkinkan penyerang untuk menebak kredensial dalam serangan semprotan kata sandi atau menangkapnya dalam serangan man-in-the-middle melalui TLS. Lebih buruk lagi, saat menggunakan autentikasi dasar, otentikasi multifaktor (MFA) cukup rumit untuk diaktifkan, dan, akibatnya, sering kali tidak digunakan sama sekali.

Agen Federal Civilian Executive Branch (FCEB) juga disarankan untuk memblokir Basic auth setelah bermigrasi ke Modern Auth, yang menurut Microsoft, akan mempersulit pelaku ancaman untuk melakukan serangan password spray dan credential stuffing yang berhasil.

Menurut panduan CISA, ini dapat dilakukan dengan membuat kebijakan otentikasi untuk semua kotak surat Exchange Online dari Halaman Auth Modern Pusat Admin M365 (detail di sini) atau kebijakan Akses Bersyarat di Azure Active Directory (AAD) menggunakan Pusat Admin AAD (petunjuk di sini).

Peringatan CISA muncul setelah Microsoft juga mengingatkan pelanggan pada bulan Mei bahwa mereka akan mulai menonaktifkan Otentikasi Dasar di penyewa acak di seluruh dunia mulai 1 Oktober 2022.

Microsoft pertama kali mengumumkan bahwa mereka akan menonaktifkan Autentikasi Dasar di Exchange Online untuk semua protokol di semua penyewa pada September 2021.

Redmond berencana untuk menonaktifkan Basic Auth untuk protokol MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, dan Remote PowerShell.

Sementara SMTP AUTH telah dinonaktifkan di jutaan penyewa yang tidak menggunakannya, Microsoft mengatakan tidak akan menonaktifkannya di tempat yang masih digunakan.

Laporan Guardicore yang diterbitkan pada September 2021 lebih jauh menyoroti pentingnya memindahkan pengguna Exchange Online dari autentikasi dasar.

Amit Serper, AVP Riset Keamanan Guardicore pada saat itu, mengungkapkan bagaimana ratusan ribu kredensial domain Windows bocor dalam teks biasa ke domain eksternal oleh klien email yang salah dikonfigurasi menggunakan auth dasar.

Sumber: Bleeping Computer