Exchange Online基础验证(Basic Auth)10月1日正式关闭,微软警告企业应尽快升级到新式验证以防密码泼洒(password spray)攻击。
密码泼洒是以大量用户名称及常见密码清单、於单一目标系统测试的一种暴力破解形态攻击。在此类攻击中,测试的用户名称不停变换,因此难以侦测、也不会被锁定,且攻击者也会不停变换攻击来源IP。由于现在计算机运行速度很快,在大量尝试下,此类攻击往往成功率很高。
使用以OAuth标准实例的基础验证就容易遭到密码泼洒攻击突破。微软指出,遭攻击的服务协议以SMTP和IMAP最常见,POP居第三位。微软Exchange部门最近发现多项指标,显示许多使用基础验证(Basic Auth)的企业遭到密码泼洒攻击。
基础验证设置简单,但也容易让黑客窃取用户帐密,是业界亟欲淘汰的验证技术。微软于2020年宣布于2021年10月1日关闭Exchange Online的基础验证,后因COVID-19疫情延后一年到2022年10月1日,并呼吁用户升级到以OAuth 2.0为基础的新式验证(Modern Auth)。
本月开始微软已正式永久关闭Exchange Online的基础验证。美国网络安全暨基础架构管理局(CISA)也在今年7月发出安全指引,要求企业和联邦政府单位于今年10月1日以前,将Exchange Online基本验证转到支持多因素验证(MFA)的现代验证。
微软已经关闭未曾使用SMTP Auth的Microsoft 365租户。而对于曾经使用的租户,微软仍允许之后重新启动,但为了安全起见,微软仍奉劝用户最好还是不要再用。
微软同时也宣布从2022年12月起,全球将不再使用旧式的Exchange Admin Center(EAC)。目前大部分现有EAC功能都已转到新版。微软建议用户使用新版EAC。