微軟
Exchange Online基礎驗證(Basic Auth)10月1日正式關閉,微軟警告企業應儘速升級到新式驗證以防密碼潑灑(password spray)攻擊。
密碼潑灑是以大量用戶名稱及常見密碼清單、於單一目標系統測試的一種暴力破解型態攻擊。在此類攻擊中,測試的用戶名稱不停變換,因此難以偵測、也不會被鎖定,且攻擊者也會不停變換攻擊來源IP。由於現在電腦運行速度很快,在大量嘗試下,此類攻擊往往成功率很高。
使用以OAuth標準實作的基礎驗證就容易遭到密碼潑灑攻擊突破。微軟指出,遭攻擊的服務協定以SMTP和IMAP最常見,POP居第三位。微軟Exchange部門最近發現多項指標,顯示許多使用基礎驗證(Basic Auth)的企業遭到密碼潑灑攻擊。
基礎驗證設定簡單,但也容易讓駭客竊取用戶帳密,是業界亟欲淘汰的驗證技術。微軟於2020年宣布於2021年10月1日關閉Exchange Online的基礎驗證,後因COVID-19疫情延後一年到2022年10月1日,並呼籲用戶升級到以OAuth 2.0為基礎的新式驗證(Modern Auth)。
本月開始微軟已正式永久關閉Exchange Online的基礎驗證。美國網路安全暨基礎架構管理署(CISA)也在今年7月發出安全指引,要求企業和聯邦政府單位在今年10月1日以前,將Exchange Online基本驗證轉到支援多因素驗證(MFA)的現代驗證。
微軟已經關閉未曾使用SMTP Auth的Microsoft 365租戶。而對於曾經使用的租戶,微軟仍允許之後重新啟動,但為了安全起見,微軟仍奉勸用戶最好還是不要再用。
微軟同時也宣布從2022年12月起,全球將不再使用舊式的Exchange Admin Center(EAC)。目前大部份現有EAC功能都已轉到新版。微軟建議用戶使用新版EAC。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19