image

Microsoft schakelt Basic Auth uit voor Autodiscover in Exchange Online

donderdag 17 november 2022, 09:56 door Redactie, 13 reacties

Microsoft heeft vorige maand bij veel klanten Basic Authentication in Exchange Online uitgeschakeld en gaat dit ook voor het Autodiscover-protocol doen. Volgens Microsoft is Basic Authentication, waarbij er wordt ingelogd met alleen een gebruikersnaam en wachtwoord, een verouderde industriestandaard die kwetsbaar is voor aanvallen.

Vorige maand werd Basic Auth voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell door Microsoft bij klanten uitgezet. Het volgende protocol waar Microsoft dit voor wil doen is Autodiscover. Via Autodiscover kan de e-mailsoftware van gebruikers zichzelf configureren. Gebruikers hoeven alleen hun e-mailadres en wachtwoord op te geven, waarna via Autodiscover de overige gegevens worden opgehaald en ingesteld.

Het Autodiscover-protocol is geregeld het doelwit van password spraying-aanvallen. Door het uitschakelen van Basic Auth voor Outlook, Exchange ActiveSync en Exchange Web Services is er volgens Microsoft geen reden meer om Basic Auth voor Autodiscover ingeschakeld te houden. Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.

Er wordt hiermee direct begonnen bij klanten die dit jaar geen gebruik van Basic Auth hebben gemaakt. Voor de overige klanten zal dit begin 2023 het geval zijn. Microsoft benadrukt dat, net als met de andere protocollen, het Autodiscover-protocol zelf niet wordt uitgeschakeld, maar alleen de manier om het met alleen een gebruikersnaam en wachtwoord te gebruiken.

Reacties (13)
17-11-2022, 12:16 door Anoniem
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.
17-11-2022, 12:43 door Bitje-scheef
Autodiscover op zich leuk, maar heb het ook regelmatig hardnekkig mis zien gaan.
17-11-2022, 13:13 door Anoniem
Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.
Je koopt ook alleen gebruiksrecht!
17-11-2022, 15:09 door Anoniem
Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.

Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.

bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
17-11-2022, 15:34 door CorChando
Door Anoniem:
Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.

Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.

bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022

Wedden dat dit niet zo is. Bericht wat je aanhaalt gaat over iets heel anders.

Deze aanpassing (Basic Auth op Autodiscover uit) is nieuw en niet eerder aangekondigd. Uiteraard wel volledig in lijn der verwachting nu Microsoft eindelijk begonnen is met de beveiliging opschroeven en het na vele jaren afscheid nemen van een verouderde en onveilige oplossing.

Hopelijk wordt Conditional Access snel toegevoegd aan alle Microsoft 365 licenties. Absurd dat je nu extra moet betalen voor een extra stuk veiligheid waar zowel de klant als Microsoft bij gebaat zijn. Gelukkig hebben we met Security Defaults ook voor de kleinere tenants al een wat meer serieuze beveiliging, maar met name het kunnen uitsluiten van bepaalde regio's heeft een meerwaarde.
17-11-2022, 19:34 door Anoniem
Door CorChando:
Hopelijk wordt Conditional Access snel toegevoegd aan alle Microsoft 365 licenties. Absurd dat je nu extra moet betalen voor een extra stuk veiligheid waar zowel de klant als Microsoft bij gebaat zijn.
Wat vooral jammer is dat is dat je een specialist moet hebben in het kiezen van de juiste licenties.
Soms worden er nieuwe licentievormen uitgebracht waardoor je ineens precies kunt krijgen wat je wilt voor minder geld,
maar als je er geen specialist bovenop hebt zitten dan mis je dat en betaal je teveel.
Bijvoorbeeld "Microsoft 365 Business Premium" biedt vanalles standaard wat je bij duurdere licenties nog moet bijkopen.
17-11-2022, 21:40 door Anoniem
Door CorChando:
Door Anoniem:
Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.

Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.

bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022

Wedden dat dit niet zo is. Bericht wat je aanhaalt gaat over iets heel anders.

Deze aanpassing (Basic Auth op Autodiscover uit) is nieuw en niet eerder aangekondigd. Uiteraard wel volledig in lijn der verwachting nu Microsoft eindelijk begonnen is met de beveiliging opschroeven en het na vele jaren afscheid nemen van een verouderde en onveilige oplossing.

Hopelijk wordt Conditional Access snel toegevoegd aan alle Microsoft 365 licenties. Absurd dat je nu extra moet betalen voor een extra stuk veiligheid waar zowel de klant als Microsoft bij gebaat zijn. Gelukkig hebben we met Security Defaults ook voor de kleinere tenants al een wat meer serieuze beveiliging, maar met name het kunnen uitsluiten van bepaalde regio's heeft een meerwaarde.
Wedden dat het wel zo is, want hoe anders kan Thunderbird al een oplossing voor OAuth 2.0 support hebben?
17-11-2022, 21:53 door Anoniem
Door Anoniem:
Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.

Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.

bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
Dit plan was al bekend sinds 2019 het is echter uitgesteld tot 2021 en toen in meerdere fases verdeeld.
https://techcommunity.microsoft.com/t5/exchange-team-blog/improving-security-together/ba-p/805892

En toen dit jaar september de berichtgeving dat alles uitgefaseerd wordt.
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-september/ba-p/3609437

Dat gezegd ben ik zeer blij dat ik na onze on-premise Exchange EOL situation de gehele hele organisatie 4 jaar terug al heb gedag laten zeggen naar alle Microsoft server diensten. Deze uitfasering had al jaren terug moeten gebeuren basic auth is zo lek als maar kan.
17-11-2022, 23:14 door CorChando
Door Anoniem:
Door CorChando:
Door Anoniem:
Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.

Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.

bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022

Wedden dat dit niet zo is. Bericht wat je aanhaalt gaat over iets heel anders.

Deze aanpassing (Basic Auth op Autodiscover uit) is nieuw en niet eerder aangekondigd. Uiteraard wel volledig in lijn der verwachting nu Microsoft eindelijk begonnen is met de beveiliging opschroeven en het na vele jaren afscheid nemen van een verouderde en onveilige oplossing.

Hopelijk wordt Conditional Access snel toegevoegd aan alle Microsoft 365 licenties. Absurd dat je nu extra moet betalen voor een extra stuk veiligheid waar zowel de klant als Microsoft bij gebaat zijn. Gelukkig hebben we met Security Defaults ook voor de kleinere tenants al een wat meer serieuze beveiliging, maar met name het kunnen uitsluiten van bepaalde regio's heeft een meerwaarde.
Wedden dat het wel zo is, want hoe anders kan Thunderbird al een oplossing voor OAuth 2.0 support hebben?

Het heeft geen fluit met elkaar te maken, je had ook kunnen zeggen dat Renault Benzinemotoren maakt.

OAuth support is nodig om verbinding te maken met welke 365 dienst dan ook waar Basic Auth voor uitgeschakeld is.
17-11-2022, 23:16 door CorChando
Door Anoniem:
Door Anoniem:
Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.

Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.

bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
Dit plan was al bekend sinds 2019 het is echter uitgesteld tot 2021 en toen in meerdere fases verdeeld.
https://techcommunity.microsoft.com/t5/exchange-team-blog/improving-security-together/ba-p/805892

En toen dit jaar september de berichtgeving dat alles uitgefaseerd wordt.
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-september/ba-p/3609437

Dat gezegd ben ik zeer blij dat ik na onze on-premise Exchange EOL situation de gehele hele organisatie 4 jaar terug al heb gedag laten zeggen naar alle Microsoft server diensten. Deze uitfasering had al jaren terug moeten gebeuren basic auth is zo lek als maar kan.

Waar in die artikelen gaat het over Basic Auth uitschakelen voor Autodiscover?
19-11-2022, 12:10 door Anoniem
Door CorChando:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Het techbedrijf gaat Basic Auth voor Autodiscover dan ook bij klanten uitschakelen.
Microsoft rules! niet de beheerder. Wedden dat er van alles niet meer werkt omdat er geen impact analyse is gedaan.

Wedden dat Microsoft dit al jaren aan het aankondigen is en dat er beheerders zijn die hun kop in het zand steken en dan straks klagen dat het niet meer werkt.

bericht van jaar geleden op deze site:
https://www.security.nl/posting/722084/Microsoft+stopt+met+Basic+Authentication+in+Exchange+Online+in+oktober+2022
Dit plan was al bekend sinds 2019 het is echter uitgesteld tot 2021 en toen in meerdere fases verdeeld.
https://techcommunity.microsoft.com/t5/exchange-team-blog/improving-security-together/ba-p/805892

En toen dit jaar september de berichtgeving dat alles uitgefaseerd wordt.
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-september/ba-p/3609437

Dat gezegd ben ik zeer blij dat ik na onze on-premise Exchange EOL situation de gehele hele organisatie 4 jaar terug al heb gedag laten zeggen naar alle Microsoft server diensten. Deze uitfasering had al jaren terug moeten gebeuren basic auth is zo lek als maar kan.

Waar in die artikelen gaat het over Basic Auth uitschakelen voor Autodiscover?
Beheerders van de Exchange systemen zijn hier de afgelopen jaren (jaren ja) ruim voldoende over geïnformeerd door Microsoft. Dit is direct naar de beheerders gedaan en via verschillende media onder andere het web. Als er beheerders en of software leveranciers niet naar hebben geluisterd is het echt hun eigen te kort komingen hier is een keer echt geen Microsoft die de schuld kan krijgen. Hoe graag een bepaalde groep dit ook zou wille .
21-11-2022, 14:09 door CorChando - Bijgewerkt: 21-11-2022, 14:09
Door Anoniem:
Beheerders van de Exchange systemen zijn hier de afgelopen jaren (jaren ja) ruim voldoende over geïnformeerd door Microsoft. Dit is direct naar de beheerders gedaan en via verschillende media onder andere het web. Als er beheerders en of software leveranciers niet naar hebben geluisterd is het echt hun eigen te kort komingen hier is een keer echt geen Microsoft die de schuld kan krijgen. Hoe graag een bepaalde groep dit ook zou wille .

Nogmaals, waar in de genoemde artikelen gaat het over Basic Auth voor Autodiscover?

Je kan blijven herhalen dat beheerders geïnformeerd zouden zijn, maar dat is nonsens. Er is pas afgelopen week voor het eerst over gecommuniceerd.

Je bent in de war met Basic Auth op andere diensten van Microsoft, daar is inderdaad al jaren over gecommuniceerd.
21-11-2022, 18:29 door Anoniem
Door CorChando:
Door Anoniem:
Beheerders van de Exchange systemen zijn hier de afgelopen jaren (jaren ja) ruim voldoende over geïnformeerd door Microsoft. Dit is direct naar de beheerders gedaan en via verschillende media onder andere het web. Als er beheerders en of software leveranciers niet naar hebben geluisterd is het echt hun eigen te kort komingen hier is een keer echt geen Microsoft die de schuld kan krijgen. Hoe graag een bepaalde groep dit ook zou wille .

Nogmaals, waar in de genoemde artikelen gaat het over Basic Auth voor Autodiscover?

Je kan blijven herhalen dat beheerders geïnformeerd zouden zijn, maar dat is nonsens. Er is pas afgelopen week voor het eerst over gecommuniceerd.

Je bent in de war met Basic Auth op andere diensten van Microsoft, daar is inderdaad al jaren over gecommuniceerd.

Microsoft heeft het hier wel benoemd dat ze het overwegen om ook uit te schakelen nadat Basic Auth is uitgeschakeld voor de meeste tenants, dus opzich kon je er wel op wachten:
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-february-2021-update/ba-p/2111904

4 February 2021:
At this time, we are not including AutoDiscover, another protocol and endpoint used by Outlook. There are two reasons for this. First, AutoDiscover doesn’t provide access to user data; it only provides a pointer to the endpoint that the client should use to access data. Second, as long as a tenant has some EWS or Exchange ActiveSync (EAS) usage, AutoDiscover is necessary for client configuration. Once Basic Auth is disabled for the vast majority of tenants, we’ll consider disabling Basic Auth for AutoDiscover.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.