Microsoft advierte que la autenticación básica de Exchange Online se desactivará

Microsoft advirtió hoy a los clientes que comenzará a deshabilitar la autenticación básica en inquilinos aleatorios en todo el mundo el 1 de octubre de 2022.

Este recordatorio llega después del anuncio de septiembre de la empresa y después de ver que todavía hay muchos clientes que aún no han migrado sus clientes y aplicaciones a la autenticación moderna.

La autenticación básica (también conocida como autenticación de proxy) es un esquema de autenticación basado en HTTP que las aplicaciones utilizan para enviar credenciales almacenadas localmente en texto sin formato a servidores, terminales o servicios en línea. Esto permite a los atacantes robar credenciales de texto sin cifrar al interceptar los datos enviados a través de conexiones no seguras que no son TLS.

La autenticación moderna (Biblioteca de autenticación de Active Directory y autenticación basada en tokens de OAuth 2.0) utiliza tokens de acceso de OAuth con una vida útil limitada que no se pueden reutilizar para autenticar en otros recursos además de aquellos para los que se emitieron.

Para empeorar las cosas, habilitar la autenticación multifactor (MFA) es bastante complicado cuando se usa la autenticación básica y, a menudo, no se usa en absoluto.

Después de activar la autenticación moderna, habilitar y hacer cumplir MFA se vuelve mucho menos complicado, lo que permite una mejor seguridad en Exchange Online como resultado directo e inmediato.

"Como recordatorio, la autenticación básica sigue siendo una de las formas más comunes en que nuestros clientes se ven comprometidos, si no la más común, y estos tipos de ataques están aumentando", dijo el equipo de Exchange.

"Deshabilitamos la autenticación básica en millones de inquilinos que no la usaban, y actualmente estamos deshabilitando los protocolos no utilizados en los inquilinos que todavía la usan, pero cada día que su inquilino tiene habilitada la autenticación básica, corre el riesgo de sufrir un ataque. "

Microsoft deshabilitará la autenticación básica para los protocolos MAPI, RPC, Libreta de direcciones sin conexión (OAB), Servicios web de Exchange (EWS), POP, IMAP y PowerShell remoto.

SMTP AUTH ya se ha deshabilitado en millones de inquilinos que no lo estaban usando y Microsoft no lo deshabilitará donde todavía esté en uso.

Para ser claros, comenzaremos el 1 de octubre; esta no es la fecha en que lo apagamos para todos. Seleccionaremos arrendatarios al azar, enviaremos publicaciones de advertencia de 7 días en el Centro de mensajes (y publicaremos avisos del Panel de estado del servicio), luego desactivaremos la Autenticación básica en el arrendatario. Esperamos completar esto a finales de este año. Por lo tanto, debería estar listo para el 1 de octubre. - El equipo de Exchange

¿Por qué Microsoft está desaprobando la autenticación básica?

Hay muchas razones por las que el cambio de Redmond a la autenticación moderna de Exchange Online en todos los inquilinos es la correcta, algunas de ellas ya se detallaron anteriormente.

Sin embargo, un informe de Guardicore de septiembre de 2021 destaca aún más la importancia de alejar a tantos usuarios de Exchange Online de la autenticación básica.

Amit Serper, en ese momento AVP de investigación de seguridad de Guardicore, mostró cómo se filtraron cientos de miles de credenciales de dominio de Windows en texto sin formato a dominios externos por parte de clientes de correo electrónico mal configurados que usaban autenticación básica.

Para deshabilitar la autenticación básica de Exchange Online antes de que Microsoft la desactive por completo, debe crear y asignar políticas de autenticación a usuarios individuales mediante el procedimiento detallado en el sitio web de soporte de Exchange Online.

"No hay forma de solicitar una excepción después de octubre. La selección de inquilinos es aleatoria y no podemos poner a su inquilino al final de la fila para darle más tiempo o cambiar su configuración en una fecha específica", advirtió el equipo de Exchange.

"Si desea que la autenticación básica se deshabilite en el momento que elija (ya sea ahora o tan pronto como esté listo), use las políticas de autenticación".

Puede encontrar más información sobre cómo prepararse para la desactivación de la autenticación básica de octubre y la mejor manera de desactivar la autenticación básica de antemano en la entrada de blog publicada hoy por The Exchange Team.

Descubre más contenido

Subir Change privacy settings