Η CISA προέτρεψε τις κυβερνητικές υπηρεσίες και τους οργανισμούς του ιδιωτικού τομέα που χρησιμοποιούν το Exchange της Microsoft να επιπνεύσουν τη μετάβαση από τις μεθόδους ελέγχου ταυτότητας παλαιού τύπου Basic Authentication χωρίς υποστήριξη πολλαπλών παραγόντων ελέγχου ταυτότητας (MFA) σε εναλλακτικές λύσεις Modern Authentication (Exchange Online Modern Auth).
Το Basic Auth (έλεγχος ταυτότητας διακομιστή μεσολάβησης) είναι ένα σύστημα ελέγχου ταυτότητας που βασίζεται σε HTTP που χρησιμοποιείται από εφαρμογές για την αποστολή διαπιστευτηρίων σε απλό κείμενο σε διακομιστές, τελικά σημεία ή διαδικτυακές υπηρεσίες.
Η εναλλακτική, Modern Auth (Active Directory Authentication Library και OAuth 2.0 token- based authentication), χρησιμοποιεί διακριτικά πρόσβασης OAuth με περιορισμένη διάρκεια ζωής που δεν μπορούν να επαναχρησιμοποιηθούν για έλεγχο ταυτότητας σε άλλους πόρους εκτός από αυτούς για τους οποίους εκδόθηκαν.
Οι εφαρμογές που χρησιμοποιούν τη βασική εξουσιοδότηση επιτρέπουν στους εισβολείς να μαντέψουν τα διαπιστευτήρια με password spray attacks ή man-in-the-middle” μέσω TSL. Επιπλέον, όταν χρησιμοποιείτε τη βασική πιστοποίηση, η ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) είναι αρκετά περίπλοκη και, ως εκ τούτου, συχνά δεν χρησιμοποιείται καθόλου.
Χρειάζεται επιγόντως σύγχρονος διακόπτης CISA Auth.
Οι υπηρεσίες του Federal Civilian Executive Branch (FCEB) ενημερώθηκαν επίσης να αποκλείσουν τη βασική ταυτότητα μετά τη μεταεγκατάσταση στο Modern Auth, κάτι που, σύμφωνα με τη Microsoft, θα κάνει πιο δύσκολο για τους hackers να πραγματοποιήσουν επιτυχημένα password spray attacks.
Σύμφωνα με τις οδηγίες της CISA, αυτό μπορεί να γίνει είτε δημιουργώντας με πολιτική ελέγχου ταυτότητας για όλα τα Exchange Online mailboxes από τη Σελίδα Σύγχρονης Εξουσιοδότησης του Κέντρου Διαχειριστή M365, είτε μια πολιτική πρόσβασης υπό όρους στο Azure Active Directory (AAD) χρησιμοποιώντας το Κέντρο διαχείρισης AAD.
“Η βασική ταυτότητα είναι μια παλαιού τύπου μέθοδος ελέγχου ταυτότητας που δεν υποστηρίζει έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), η οποία είναι απαίτηση για τις υπηρεσίες του Ομοσπονδιακου Πολιτικού Εκτελεστικού Κλάδου (FCEB) ανά εκτελεστικό διάταγμα 14028, δήλωσε η CISA την Τρίτη.
“Αν και αυτή η καθοδήγηση είναι προσμαρμοσμένη στις υπηρεσίες της FCEB, η CISA προτρέπει όλους τους οργανισμούς να στραφούν στο Modern Auth πριν από την 1η Οκτωβρίου και να ενεργοποιήσουν το MFA”.
Η προειδοποίηση της CISA έρχεται αφότου η Microsoft υπενθύμισε επίσης στους πελάτες τον Μάιο ότι θα αρχίσει να απανεργοποιεί τον βασικό έλεγχο ταυτότητας σε τυχαίους ενοικιαστές παγκοσμίως από την 1η Οκτωβρίου 2022.
Η Microsoft ανακοίνωσε για πρώτη φορά ότι θα ενεργοποιούσε το Basic Auth στο Exchange Online για όλα τα πρωτόκολλα σε όλους τους πελάτες τον Σεπτέμβριο του 2021.
“Έχουμε απενεργοποιήσει το Basic Auth σε εκατομμύρια πελάτες που δεν το χρησιμοποιούσαν και αυτήν τη στιγμή απενεργοποιούμε αχρησιμοποίητα πρωτόκολλα σε όσους το χρησιμοποιούν ακόμα, αλλά κάθε μέρα που ο πελάτης σας έχει ενεργοποιημένο το Basic Auth, κινδυνεύετε από επίθεση,” είπε η εταιρεία.
Ενώ το SMTP AUTH έχει ήδη απενεργοποιηθεί σε εκατομμύρια πελάτες που δεν τον χρησιμοποιούσαν, η Microsoft είπε ότι δεν θα το απενεργοποιήσει εκεί όπου εξακολουθεί να χρησιμοποιείται.
Μια αναφορά της Guardicore που δημοσιεύτηκε τον Σεπτέμβριο του 2021 υπογραμμίζει περαιτέρω τη σημασία της απομάκρυνσης των χρηστών του Exchange Online από τη βασική εξουσιοδότηση.
Ο Amit Serper, ο AVP της Έρευνας Ασφαλείας της Guardicore εκείνη την εποχή, αποκάλυψε πως εκατοντάδες χιλιάδες domain credentials των Windows διέρρευσαν από κείμενο σε εξωτερικά domains από εσφαλμένα διαμορφωμένα προγράμματα- πελάτες ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν βασική εξουσιοδότηση.
Με πληροφορίες από bleepingcomputer.com
