Exchange Online Basic Authentication Kapanıyor

3 Mayıs’ta Microsoft, Ekim 2022’den itibaren Exchange Online’da temel kimlik doğrulama (Basic Authentication) yöntemini kademeli olarak kaldıracağını duyurdu. Bu karar, temel kimlik doğrulamanın yarattığı güvenlik riskleri nedeniyle alındı. Saldırganlar, bu zayıf güvenlik duvarını aşarak kullanıcı hesaplarına erişebilmekte ve bu durum, özellikle parola spreyi gibi saldırı teknikleriyle daha da kötüleşebilmektedir.

Exchange Online Basic Authentication Kapanışı için Önemli Bilgiler

  1. Geniş Kapsamlı Uygulama: Microsoft, temel kimlik doğrulamasını kullanmayan milyonlarca kiracıda bu özelliği zaten devre dışı bırakmış durumda.
  2. Etkilenen Protokoller: 1 Ekim 2022 itibarıyla, Exchange Web Hizmetleri (EWS), Remote PowerShell, POP3, IMAP4, RPC üzerinden MAPI, Exchange ActiveSync ve Offline Address Book (OAB) gibi protokoller için temel kimlik doğrulaması devre dışı bırakılacak. Microsoft, tüm Office 365 veri merkezlerinde bu değişikliği uygulamak için çalışacak ve süreç yıl sonuna kadar tamamlanması bekleniyor.
  3. SMTP AUTH İstisnası: SMTP AUTH, şimdilik temel kimlik doğrulaması desteğini sürdürecek tek protokoldür. Ancak, bu durumun ne kadar süreceği belirsizdir ve kullanıcılar, bu bağlantıları mümkün olan en kısa sürede modernize etmeye başlamalıdır.
  4. Modern Kimlik Doğrulama ve Aygıt Yönetimi: Modern işletim sistemlerine sahip Apple cihazları, Exchange Online posta kutularına Exchange ActiveSync kullanarak ve modern kimlik doğrulamasıyla bağlanabilir. Ancak, eski bir aygıt ayarlarının yeni bir cihaza aktarılması, temel kimlik doğrulama ayarlarını koruyabilir ve bu aygıtlar, Microsoft’un bu yöntemi devre dışı bırakmasının ardından bağlantı kuramayabilir.
  5. Kimlik Doğrulama İlkeleri ve Güvenlik Önlemleri: Temel kimlik doğrulamasını engellemek için kimlik doğrulama ilkeleri artık kullanılabilir. Bu, özellikle saldırganların sıkça kullandığı ve güvensiz olan POP3 ve IMAP4 gibi protokollerin proaktif bir şekilde engellenmesini sağlamaktadır.

Sonuç

Bir tenant yöneticisi olarak, Azure AD koşullu erişim ilkeleri uygulamak veya Set-CasMailbox cmdlet’i aracılığıyla belirli protokolleri devre dışı bırakmak gibi adımlar atabilirsiniz. Ancak, bu önlemler yalnızca hesap başarılı bir şekilde kimlik doğrulandıktan sonra devreye girer. Kimlik doğrulama ilkeleriyle protokollerin engellenmesi, saldırganların başlangıçta kimlik doğrulamasını tamamlamasını ve bu süreçte geçerli kimlik bilgilerine erişimini engellemektedir.

Yorum yapın