Exchange Online Modern Auth

Microsoft memperingatkan hari ini bahwa itu akan secara permanen mematikan otentikasi dasar Exchange Online mulai awal Januari 2023 untuk meningkatkan keamanan.

Pengumuman ini muncul setelah beberapa pengingat dan peringatan yang dikeluarkan Redmond selama tiga tahun terakhir, yang pertama diterbitkan pada September 2019 dan dua lagi pada September 2021 dan Mei 2022 setelah banyak pelanggan menunda peralihan ke autentikasi modern.

CISA juga mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan platform email cloud Microsoft Exchange pada bulan Juni untuk mempercepat perpindahan dari metode autentikasi lama tanpa dukungan autentikasi multifaktor (MFA) ke alternatif autentikasi modern.

Protokol SMTP AUTH yang digunakan untuk pengiriman email klien juga akan dinonaktifkan di semua penyewa yang tidak menggunakannya.

Protokol ini akan dinonaktifkan untuk penggunaan autentikasi dasar secara permanen selama minggu pertama bulan Januari 2023, tanpa dapat mengaktifkannya kembali.

Setelah autentikasi dasar tidak digunakan lagi, pelanggan mungkin mengalami berbagai masalah, termasuk tidak dapat masuk ke Exchange Online mulai Januari 2023.

Tim Exchange juga telah membagikan informasi mendetail tentang cara berhenti menggunakan autentikasi dasar untuk menghindari aplikasi email Exchange Online tidak lagi masuk atau terus meminta kata sandi Anda.

selengkapnya : bleeping computer

CISA telah mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan platform email cloud Exchange Microsoft untuk mempercepat peralihan dari metode otentikasi warisan Otentikasi Dasar tanpa dukungan otentikasi multifaktor (MFA) ke alternatif Otentikasi Modern.

Basic Auth (otentikasi proxy) adalah skema autentikasi berbasis HTTP yang digunakan oleh aplikasi untuk mengirim kredensial dalam teks biasa ke server, titik akhir, atau layanan online.

Alternatifnya, Modern Auth (Active Directory Authentication Library dan otentikasi berbasis token OAuth 2.0), menggunakan token akses OAuth dengan masa pakai terbatas yang tidak dapat digunakan kembali untuk mengautentikasi sumber daya lain selain yang dikeluarkan untuknya.

Aplikasi yang menggunakan Auth Dasar memungkinkan penyerang untuk menebak kredensial dalam serangan semprotan kata sandi atau menangkapnya dalam serangan man-in-the-middle melalui TLS. Lebih buruk lagi, saat menggunakan autentikasi dasar, otentikasi multifaktor (MFA) cukup rumit untuk diaktifkan, dan, akibatnya, sering kali tidak digunakan sama sekali.

Agen Federal Civilian Executive Branch (FCEB) juga disarankan untuk memblokir Basic auth setelah bermigrasi ke Modern Auth, yang menurut Microsoft, akan mempersulit pelaku ancaman untuk melakukan serangan password spray dan credential stuffing yang berhasil.

Menurut panduan CISA, ini dapat dilakukan dengan membuat kebijakan otentikasi untuk semua kotak surat Exchange Online dari Halaman Auth Modern Pusat Admin M365 (detail di sini) atau kebijakan Akses Bersyarat di Azure Active Directory (AAD) menggunakan Pusat Admin AAD (petunjuk di sini).

Peringatan CISA muncul setelah Microsoft juga mengingatkan pelanggan pada bulan Mei bahwa mereka akan mulai menonaktifkan Otentikasi Dasar di penyewa acak di seluruh dunia mulai 1 Oktober 2022.

Microsoft pertama kali mengumumkan bahwa mereka akan menonaktifkan Autentikasi Dasar di Exchange Online untuk semua protokol di semua penyewa pada September 2021.

Redmond berencana untuk menonaktifkan Basic Auth untuk protokol MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, dan Remote PowerShell.

Sementara SMTP AUTH telah dinonaktifkan di jutaan penyewa yang tidak menggunakannya, Microsoft mengatakan tidak akan menonaktifkannya di tempat yang masih digunakan.

Laporan Guardicore yang diterbitkan pada September 2021 lebih jauh menyoroti pentingnya memindahkan pengguna Exchange Online dari autentikasi dasar.

Amit Serper, AVP Riset Keamanan Guardicore pada saat itu, mengungkapkan bagaimana ratusan ribu kredensial domain Windows bocor dalam teks biasa ke domain eksternal oleh klien email yang salah dikonfigurasi menggunakan auth dasar.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Microsoft Akan Menonaktifkan Autentikasi Dasar Exchange Online pada Bulan Januari

CISA memperingatkan organisasi untuk beralih ke Exchange Online Modern Auth hingga Oktober

Exchange Online Modern Auth

Cookies Settings