Deaktivierung der Basic Authentication
für Exchange Online
28.07.2022 | Microsoft warnt: Die Standardauthentifizierung (Basic Authentication) bei Microsoft 365 Exchange Online wird zum 01. Oktober 2022 deaktiviert.
Was ist die grundlegende Authentifizierung?
Basic Authentication (auch bekannt als Proxy-Authentifizierung) ist ein HTTP-basiertes Authentifizierungsschema, das Apps verwenden, um lokal gespeicherte Anmeldeinformationen im Klartext an Server, Endpunkte oder Onlinedienste zu senden.
Warum schafft Microsoft diese Form der Authentifizierung ab?
Da die Anmeldeinformationen im Klartext an die Gegenstellen übermittelt werden, können auf diese Weise Angreifer Klartext-Anmeldeinformationen stehlen, indem sie Daten abfangen, die über ungesicherte Nicht-TLS-Verbindungen gesendet werden. Weiter wurde von Microsoft festgestellt, dass es immer noch viele Kunden gibt, die ihre Clients und Apps noch nicht auf Modern Authentication umgestellt haben. „Zur Erinnerung: Basic Auth ist immer noch eine, wenn nicht sogar die häufigste Art, wie unsere Kunden kompromittiert werden, und diese Arten von Angriffen nehmen zu!“, so das Exchange Team.
Welche Protokolle sind betroffen?
Microsoft wird die Basic Authentication für folgende Protokolle im Exchange Online deaktivieren:
- MAPI
- RPC
- Offlineadressbuch (OAB)
- Exchange Web Services (EWS)
- POP
- IMAP
- Remote PowerShell
Handlungsbedarf bestimmen und Maßnahmen planen
Azure AD bietet Administratoren mit dem Sign-In Log eine Übersicht verwendeter Authentifizierungsverfahren. Wird bei diesem Audit der Einsatz der Basic Authentication festgestellt, sollten Sie die betroffene Anwendung auf Modern Auth-Verfahren umstellen und die Multi Faktor Authentifizierung (MFA) erzwingen.
Die moderne Authentifizierung (Active Directory-Authentifizierungsbibliothek und tokenbasierte OAuth 2.0-Authentifizierung) verwendet OAuth-Zugriffstoken mit begrenzter Lebensdauer, die nicht wiederverwendet werden können, um sich bei anderen Ressourcen als denen, für die sie ausgestellt wurden, zu authentifizieren. Nach dem Umschalten auf moderne Authentifizierung wird das Aktivieren und Erzwingen von MFA viel weniger kompliziert, was eine bessere Sicherheit in Exchange Online als direktes und unmittelbares Ergebnis ermöglicht.
Prüfung auf Kompromittierung
Um zu überprüfen, ob ein Exchange Server bereits von einem Angriff betroffen ist, hat GTSC einen Leitfaden sowie ein Tool zum Scannen von IIS-Protokolldateien veröffentlicht. (Dieser ist standardmäßig im Ordner %SystemDrive%\inetpub\logs\LogFiles gespeichert.)
Verwenden Sie zur Überprüfung Ihres Exchange Servers entweder
- den PowerShell-Befehl: Get-ChildItem -Recurse -Path -Filter „*.log“ | Select-String -Pattern ‚powershell.*autodiscover\.json.*\@.*200‘
- oder das von GTSC entwickelte Tool.
Auf Grundlage der Exploit-Signatur haben die GTSC-Forscher ein Tool erstellt, das eine kürzere Suchzeit benötigt als PowerShell. Dieses können Sie sich auf GitHub herunterladen.
Außerdem führen die Sicherheitsforscher von GTSC in ihrem Bericht noch einige Indicators of Compromise (IOCs) auf, anhand deren eine Infektion erkennbar ist.
Sie haben Fragen oder benötigen Unterstüzung bei der Umsetzung der Maßnahmen? Dann sind wir gerne für Sie da! Sie erreichen uns telefonisch unter tel:+497805918110 oder über das Kontaktformular.
Kontakt
