Meldung

Exchange verabschiedet Basic-Auth-Anmeldung im Herbst

Microsoft schaltet zum 1. Oktober das Basic-Auth-Verfahren zur Anmeldung an Exchange-Online-Postfächern ab. Das Authenifizierungsverfahren gilt als äußerst unsicher, da eine Klartextübertragung der Anmeldedaten, die lediglich Base64-kodiert sind, stattfindet. Diese Maßnahme war überfällig, denn laut Microsoft ist Basic-Auth eine der am häufigsten genutzten Schwachstellen zur Kompromittierung der Nutzerdaten – wobei die Anzahl der Angriffe darauf noch laut Redmond noch immer ansteigt.
Der E-Mail-Empfang über das Basic-Auth-Verfahren ist in Exchange Online ab dem 1.10. nicht mehr möglich.
Microsoft beginnt daher, das Anmeldeverfahren weltweit ab dem 1. Oktober 2022 abzuschalten. Betroffen sind die Protokolle MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP und Remote PowerShell. Der Dienst wird jedoch zunächst nur bei solchen Unternehmen außer Betrieb genommen, die ihn nicht nutzen. Wo das Verfahren also im Einsatz ist, rührt der Hersteller die Einstellungen nicht an. Microsofts Empfehlung für Infrastrukturen, in denen Basic Auth noch läuft, lautet, das Verfahren für die Instanz zu deaktivieren und lediglich für die einzelnen Konten zu aktivieren, die es tatsächlich benötigen.

Ein MS-Blog [1] liefert Tipps, wie Admins wichtigste Apps und Programme auf moderne Authentifizierung umgestellen. Der Beitrag beschreibt Vorgehensweisen für Outlook, POP/IMAP in Verbindung mit OAuth, EWS-Apps, ActiveSync, PowerShell-Skripten, Reporting Web Services sowie Microsoft Teams Rooms. Sofern entsprechende Anwendungen angepasst sind, erklärt eine Anleitung [2], wie IT-Verantwortliche Basic-Authentication selbst abschalten.
10.05.2022/jp

Nachrichten

Gefährliches HTML-Phishing im Trend [16.05.2022]

Security-Experten von Kaspersky warnen vor der wachsenden Bedrohung durch Phishing-E-Mails mit HTML-Dateien. Von Januar bis April 2022 blockierte das Unternehmen demnach fast zwei Millionen Phishing-E-Mails mit solchen Anhängen. Die Verwendung von HTML-Dateien in Phishing-Nachrichten scheint bei Betrügern einer der neuesten und beliebtesten Tricks, um Sicherheitssysteme zu umgehen. [mehr]

Mehr Attacken treffen auf weniger Cyberexperten [16.05.2022]

Laut "Hiscox Cyber Readiness Report" sind Cyberangriffe größtes unternehmerisches Risiko und ein Viertel des IT-Budgets deutscher Unternehmen fließt mittlerweile in die IT-Sicherheit. Deutschland verzeichnet dabei die höchsten Gesamtschadenkosten. Die Zahl der Experten auf diesem Feld hierzulande sinkt jedoch um 17 Prozentpunkte auf nur noch drei Prozent. [mehr]

Fachartikel

Pass-the-Hash-Angriffe vermeiden (3) [16.05.2022]

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im dritten und letzten Teil der Workshopserie geht es unter anderem darum, warum sie überflüssiges Clientgeschwätz abschalten und generell die Anzahl der Konten reduzieren sollten. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen