K-iS Security Advisory 2022-011 – Exchange Online deaktiviert Basic Authentication
Microsoft hat veröffentlicht, dass die Basic-Authentifizierung ab dem 01.10.2022 abgeschaltet wird.
Dabei werden nicht alle Accounts gleichzeitig abgeschaltet, sondern es werden willkürlich Microsoft Tenants ausgewählt und in 7-Tage Schritten verarbeitet. Um darauf vorbereitet zu sein und um zu wissen, wann der eigene Tenant fällig ist, wird es eine Benachrichtigung 30 Tage vorher im Microsoft Message Center geben.
Die Basic-Authentifizierung wird von Anwendungen verwendet, um eine Verbindung mit Servern, Diensten und API-Endpunkten herzustellen. Bei der Basic-Authentifizierung werden häufig Anmeldeinformationen wie z.B. Benutzername oder Passwort auf einem Endgerät gespeichert. Das erleichtert Angreifern das Erfassen von Benutzeranmeldeinformationen. Zusätzlich handelt es sich dabei um einen veralteten Industriestandard. Bedrohungen, die von ihr ausgehen, sind erst gestiegen, seit von Microsoft angekündigt wurde, dass diese deaktiviert werden. Um den Prozess entgegenzuwirken, wird Microsoft diese Authentifizierung abschalten.
Somit werden zukünftig alle Basic-Authentifizierungen ab dem genannten Termin, die noch zu Exchange Online verwendet werden, nicht mehr zugelassen, was dazu führt, dass z.B. Mobile Clients die Verbindung zum Exchange Online verlieren oder Microsoft die Authentifizierung von Anwendungen verweigert.
Demnach erzwingt Microsoft die Modern Authentication. Bestehende SMTP-Authentifizierungen werden nicht abgeschaltet, es wird aber empfohlen auf Modern Authentication umzustellen.
Folgende Dienste werden für die Basic-Authentifizierung außer Betrieb genommen:
- Exchange ActiveSync (EAS)
- POP
- IMAP
- Remote PowerShell (RPC)
- Exchange Webdienste (EWS)
- OfflineAdressbuch (OAB)
- SMTP Authentifizierung (nur bei nicht Verwendung
Diese Maßnahmen sollten Sie ergreifen:
Protokolldienst |
Betroffene Clients |
Empfehlung |
---|---|---|
Outlook |
Alle Versionen von Outlook für Windows und MAC |
|
Exchange ActiveSync (EAS) |
Mobile E-Mail Clients von Apple, Samsung usw. |
|
POP & IMAP |
Mobile Clients von Drittanbietern wie Thunderbird-Erstanbieterclients, die für die Verwendung von POP und IMAP konfiguriert sind |
|
Remote PowerShell (RPC) |
|
|
Exchange Webdienste (EWS) |
Anwendungen von Drittanbietern, die OAuth nicht unterstützen |
|
Weiterführende Links:
Einstellung der Standardauthentifizierung in Exchange Online | Microsoft Docs
Microsoft wirft unsichere Anmeldung für Exchange Online raus | heise online
Microsoft Announcement May 2022
Gerne unterstützen wir Sie bei der Analyse, welche Geräte und Anwendungen noch mit der Basic-Authentifizierung unterwegs sind und bei der Umsetzung der Handlungsempfehlung. Melden Sie sich dazu bei unserem Support, um einen Termin zu vereinbaren.
Zentraler Support der K-iS Systemhaus Unternehmensgruppe:
support@k-is.com | +49 271 31370-30 (D-Siegen) | +49 6761 9321-55 (D-Simmern) | +41-55-536-1020 (Schweiz)
Support der pointcom GmbH
support@pointcom.de | +49 7681 474098-8
Support der my-Office.ch GmbH
support@my-office.ch | +41 61 303 04-05
Support der IT Systemhaus vor Ort GmbH
support@systemhaus-vorort.de | +49 271 3388460-1