Microsoft advirtió hoy a los clientes que finalmente deshabilitará la autenticación básica en inquilinos aleatorios en todo el mundo para mejorar la seguridad de Exchange Online a partir del 1 de octubre de 2022.
El anuncio de hoy sigue a múltiples recordatorios y advertencias que la empresa ha emitido durante los últimos tres años, el primero publicado en septiembre de 2019 .
La empresa volvió a pedir a los clientes que desactivaran la autenticación básica en septiembre de 2021 y mayo de 2022 después de ver que muchos de ellos aún tenían que pasar a sus clientes y aplicaciones a la autenticación moderna.
“Desde nuestro primer anuncio hace casi tres años, hemos visto a millones de usuarios alejarse de la autenticación básica y la hemos deshabilitado en millones de inquilinos para protegerlos de manera proactiva. Sin embargo, aún no hemos terminado y, lamentablemente, el uso es “todavía no está en cero. A pesar de eso, comenzaremos a desactivar la autenticación básica para varios protocolos para los inquilinos que no estaban desactivados anteriormente”, dijo hoy el equipo de intercambio.
“A partir del 1 de octubre, comenzaremos a seleccionar inquilinos al azar y deshabilitaremos el acceso de autenticación básica para MAPI, RPC, Libreta de direcciones sin conexión (OAB), Servicios web de Exchange (EWS), POP, IMAP, Exchange ActiveSync (EAS) y PowerShell remoto. “
Redmond dice que se publicará un mensaje anunciando este movimiento en el Centro de mensajes de Windows siete días antes de que comience la implementación. Se notificará a cada inquilino a través de las notificaciones del Panel de estado del servicio cuando la autenticación básica esté deshabilitada.
En los inquilinos en los que se deshabilitará este esquema de autenticación, los clientes aún podrán volver a habilitarlo una vez por protocolo mediante el diagnóstico de autoservicio hasta finales de diciembre de 2022. Sin embargo, los protocolos “se deshabilitarán para el uso de autenticación básica de forma permanente”. durante la primera semana de enero de 2023, sin forma de volver a utilizar la autenticación básica.
Hasta ahora, Microsoft dice que ya ha deshabilitado la autenticación básica en millones de inquilinos que no la estaban usando y también está desactivando los protocolos no utilizados dentro de los inquilinos que todavía lo usan para protegerlos de los ataques que explotan este esquema de autenticación inseguro.
“Este esfuerzo ha tomado tres años desde la comunicación inicial hasta ahora, e incluso eso no ha sido tiempo suficiente para garantizar que todos los clientes conozcan este cambio y tomen todas las medidas necesarias. La TI y el cambio pueden ser difíciles, y la pandemia cambió las prioridades para muchos de nosotros, pero todos quieren lo mismo: mejor seguridad para sus usuarios y datos”, agregó Microsoft.
La autenticación básica (también conocida como autenticación heredada o autenticación de proxy) es un esquema de autenticación basado en HTTP que se utiliza para enviar credenciales en texto sin formato a servidores, terminales o varios servicios en línea.
Desafortunadamente, esto permite a los actores de amenazas robar credenciales en ataques man-in-the-middle sobre TLS o adivinarlas en ataques de rociado de contraseñas. Pueden robar credenciales de texto sin cifrar de aplicaciones que utilizan autenticación básica a través de varias tácticas, incluida la ingeniería social y el malware de robo de información.
La autenticación moderna (un término genérico para múltiples métodos de autenticación y autorización) utiliza tokens de acceso de OAuth que no se pueden reutilizar para autenticar en otros recursos además de aquellos para los que fueron emitidos.
Para empeorar las cosas, la autenticación básica hace que sea bastante complicado habilitar la autenticación multifactor (MFA), lo que significa que a menudo no se usará en absoluto. Activar Modern Auth hace que habilitar MFA sea mucho menos complicado, lo que permite una mejor seguridad de Exchange Online.
Si bien hay muchas razones para cambiar a Modern Auth en Exchange Online, un informe de Guardicore agregó otra a la lista en septiembre de 2021.
Destacó aún más la importancia de este movimiento, mostrando cómo cientos de miles de credenciales de dominio de Windows se filtraron en texto sin formato a dominios externos por parte de clientes de correo electrónico mal configurados que usaban autenticación básica.
