A Microsoft está alertando os usuários do Exchange Online sobre um aumento nos ataques de spray de senha, pedindo àqueles que ainda não desabilitaram a autenticação básica que pelo menos configurem políticas de autenticação para proteger seus usuários e dados.
Em um post nesta semana, a equipe do Exchange da Microsoft disse que as empresas que ainda usam a autenticação básica estão sendo alvo de ataques de spray de senha, um tipo de tática de força bruta na qual um invasor “spray” um sistema alvo com um grande número de nomes de usuário e uma lista de senhas comuns para ver se alguma delas funcionará.
“Muitas vezes é difícil detectar porque o nome de usuário continua mudando; as contas não são bloqueadas porque a conta que está sendo atacada está mudando”, escreveu a equipe . “Os invasores também distribuem seus esforços sobre seus alvos e continuam mudando seu IP de origem. É essencialmente um jogo de números, e os computadores são muito bons em números. E como os ataques acontecem, funciona .”
Por três anos, a Microsoft vem retirando ofertas de software populares como o Outlook Desktop e o Outlook Mobile App da autenticação básica em favor de métodos de autenticação de usuário mais seguros. A gigante de Redmond disse aos usuários do Exchange Online que a partir deste mês começará a desabilitar o Basic Auth para ferramentas como MAPI, Offline Address Book, Exchange Web Services e Exchange ActiveSync.
Até agora, milhões de usuários têm mudou do Basic Auth para o Modern Auth ao longo desses três anos e a Microsoft o desativou em milhões de locatários, de acordo com a empresa. No entanto, mesmo com lembretes em setembro de 2021 e em maio, muitos ainda estão usando e têm até janeiro de 2023 antes que a autenticação básica seja desativada para todos os protocolos.
Até então, esses clientes terão que enfrentar ataques de identidade usando a autenticação básica.
“A única razão pela qual estamos desativando a autenticação básica no Exchange Online é proteger seus usuários e dados, ” eles escreveram. “As evidências que vejo todos os dias indicam claramente que os ataques de spray de senha estão se tornando mais frequentes. Os protocolos mais populares que vemos atacados como esse são SMTP e IMAP. O POP é o terceiro da lista, mas SMTP e IMAP estão lá fora em uma liga próprios.”
Para combater isso, a Microsoft está recomendando que as organizações que ainda estão usando a autenticação básica configurem as políticas de autenticação do Exchange Online, que garantirão que apenas as contas que a organização sabe que devem usar a autenticação básica Autenticação com protocolos específicos pode. A Microsoft também sugeriu que as empresas deveriam começar com SMTP e IMAP.
- Microsoft para eliminar as regras de acesso antigas no Exchange Online
Microsoft: O prazo para sair do Basic Auth está se aproximando
- Comece a usar o Modern Auth agora para o Exchange Online
A autenticação de dois fatores bloqueia totalmente o Office 365? Você pode querer verificar todos os seus serviços…
As organizações podem usar relatórios de entrada do Azure Active Directory para determinar quem está usando legitimamente Autenticação básica com IMAP em um locatário e, em seguida, crie uma política de autenticação no locatário que permita a autenticação básica com IMAP. O processo pode ser repetido com cada protocolo, alguns aplicativos como o Outlook usam vários protocolos, o que significa criar uma combinação de políticas.
“Qualquer tentativa de usar autenticação básica com IMAP, usando qualquer conta que não seja aqueles com a política Permitir explícita falharão”, escreveram. “Os ataques de spray de senha seriam limitados a essas contas específicas – e você pode observá-los mais de perto, sabendo que todas as suas outras contas não podem ser atacadas dessa maneira.”
A Microsoft esperava inicialmente para desabilitar todo o uso do Basic Auth antes do final do ano, mas sabia que, apesar dos avisos, ainda havia muitos que continuaram a usar o método de autenticação legado. A autenticação básica envolve o envio de credenciais em texto simples para os sistemas. No entanto, ele não oferece suporte natural à autenticação multifator (MFA), tornando-o um desafio para as organizações que desejam usar ambos.
O fabricante do software diz que o Modern Auth abrange uma variedade de métodos de segurança, incluindo políticas de acesso como MFA, cartões inteligentes, autorização aberta, gerenciamento de acesso móvel e autenticação baseada em certificado. Essas ferramentas são importantes à medida que os grupos de ameaças se tornam mais sofisticados em suas formas de roubar credenciais em um momento em que as empresas continuam migrando para a nuvem, adotando o trabalho remoto e expandindo o acesso de terceiros aos recursos corporativos.
Em agosto, a Microsoft publicou um documento descrevendo as etapas que as empresas podem adotar para identificar e investigar ataques de spray.
