Microsoft ritira la Basic Authentication da Exchange Online. Attenzione alle vulnerabilità!

Microsoft ha annunciato che, a partire dal 1° ottobre 2022, verrà ritirata la Basic Authentication da Exchange Online per i protocolli Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, MAPI, RPC e OAB.

Questo annuncio arriva dopo che Microsoft inizialmente aveva posticipato la rimozione della basic auth fino alla seconda metà del 2021 a causa della pandemia di COVID-19

La Basic Authentication è una modalità con la quale l’applicazione client passa il nome utente e la password ad ogni richiesta. Sebbene risulti semplice da configurare e utilizzare, la Basic Authentication rende più facile ad un eventuale attacco acquisire le credenziali degli utenti aumentando quindi la possibilità di riutilizzo delle stesse in maniera indesiderata.

Per anni Microsoft (e altri sistemi) si sono affidati a protocolli come CHAP, NTLM e Kerberos, ma gli stessi non sono nativi per l’utilizzo in Internet. In genere per le risorse internet viene utilizzata la Basic Authentication dove il nome utente e password sono contenuti in un unico campo in testo normale e con codifica base64. Per questo motivo, la basic authentication necessita la combinazione con SSL per crittografare le intestazioni e proteggere le credenziali.

Tuttavia, nonostante l’utilizzo del protocollo HTTPS, esistono numerose vulnerabilità per la basic authentication dove l’intestazione di autenticazione viene inviata ad ogni richiesta; quindi, l’opportunità di sottrarre le credenziali è praticamente illimitata.

Come primo passaggio, le organizzazioni devono controllare, oltre all’applicazione Outlook, anche eventuali software/applicazioni custom che inviano mail attraverso Exchange Online; nonché sistemi di fonia che inviano messaggi vocali alle caselle postali; ecc ecc… 

Le novità introdotte da Microsoft, rendono l’ambiente più sicuro, ma è altrettanto vero che può essere difficile per alcune organizzazioni affrontare questo processo di verifica ed aggiornamento.

La raccomandazione è quella di abilitare la Modern Authentication che è una metodologia di autenticazione che raggruppa diversi protocolli, alcuni dei quali sono il SAML, WS-Federation e OAuth. Ciascuno di questi metodi è diverso tra loro, ma tutti mirano ad allontanarsi dal classico metodo dove viene usato il nome utente e la password basandosi invece su attestazioni token.

Con questa modalità, l’utente utilizza un nome utente e una password per autenticarsi con un provider di identità che genera un token per l’accesso. Questo token contiene le informazioni specifiche, sotto forma di attestazione, che definiscono gli accessi o l’autorizzazione a cui l’utente ha accesso. Hanno la caratteristica di scadere e possono essere anche revocati dando quindi agli amministratori una maggiore capacità di gestire queste informazioni.

Oltre alle informazioni sull’account, nei token sono contenute informazioni riguardanti dettagli del device utilizzato oppure la posizione dalla quale questo device si sta collegando. Ciò permette a Microsoft di abilitare la funzionalità definita conditional access che può aiutare a limitare l’accesso alle risorse dell’organizzazione in base alla posizione o al tipo di dispositivo. Ad esempio, un’organizzazione potrebbe scegliere di non consentire l’accesso da determinati paesi o da dispositivi personali.

Infine, con l’introduzione delle tecnologie quali Seamless Single Sign-On, Windows Hello e la password-less authentication con l’app Microsoft Authenticator, il numero di richieste di inserimento delle password viene notevolmente ridotto riducendo di fatto i rischi che le credenziali possano essere compromesse.

Gruppo Project è al tuo fianco per fornirti supporto e tutte le informazioni necessarie per abilitare la Modern Authentication e senza impatti nel tuo business.