Exchange Online: Nach Basic-Auth-Ende vermehrte Angriffe beobachtet

Microsoft hat die Anmeldung mittels Basic Auth für Exchange Online weitgehend abgedreht. Angreifer versuchen, bei Ausnahmen mit Passwort-Austesten einzubrechen.

In Pocket speichern vorlesen Druckansicht 20 Kommentare lesen

(Bild: NicoElNino/Shutterstock.com)

Lesezeit: 3 Min.
Von

Microsoft warnt, dass nach dem eigentlich geplanten Ende für die unsichere Anmeldung mittels Basic Authentication in Exchange Online zum 01. Oktober dieses Jahres derzeit Angriffe zunehmen. Das Unternehmen räumt Kunden eine letztmalige Möglichkeit zur Verlängerung ein. Cyberkriminelle nutzten das, um vermehrt von Microsoft sogenannte Passwort-Spraying-Angriffe durchzuführen, bei denen sie massenhaft Nutzernamen und Passwörter durchtesten.

Das Basic-Auth-Verfahren ist im HTTP-Standard verankert. Es handelt sich faktisch um eine Klartextübertragung der Anmeldedaten, da sie lediglich Base64-kodiert ist und sich sehr einfach von jedem dekodieren lässt. Dies unterstützte Exchange Online unter anderem für die Protokolle POP3, IMAP und SMTP. Basic-Auth war die am meisten missbrauchte Schwachstelle zum Einbrechen etwa in Exchange Online, weshalb Microsoft der Anmeldeart den Hahn zum 01. Oktober abdrehen wollte.

Da es jedoch noch einige inkompatible Software und Systeme gibt, die auf Basic-Auth setzen, hatte Microsoft zuletzt nachgegeben und eine letztmalige Verlängerung der Abschaltungsfrist für Kunden erlaubt. Sollten Kunden Basic-Auth wieder aktivieren, wird es nun im Januar 2023 endgültig deaktiviert. In einem Beitrag in Microsofts TechCommunity erläutert das Unternehmen, dass es eine Zunahme an Brute-Force-Angriffen beobachte, bei denen die Cyberkriminellen eine große Menge an Nutzernamen einsetzten und dafür bekannte Passwörter ausprobierten.

Dadurch, dass die Nutzernamen ständig wechselten, seien die Angriffe schwer zu erkennen. Auch würden die Konten aufgrund des steten Wechsels nicht blockiert. Zudem verteilten die Angreifer ihre Angriffe und nutzten unterschiedliche Quell-IPs. Besonderer Angriffsschwerpunkt sind SMTP und IMAP, die weit öfter als POP angegriffen würden.

Microsoft schlägt vor, den Zugriff mittels Basic-Auth lediglich bestimmten bekannten Konten zu erlauben und das auch nur für die benötigten Protokolle. Im Kern sollen Administratoren das Basic-Auth-Verfahren so für die Organisation verbieten und die einzelnen Konten, die diesen Zugriff benötigen, gezielt freischalten. Der Beitrag von Microsoft gibt auch ein Beispiel:

New-AuthenticationPolicy -Name "AllowIMAP" -AllowBasicAuthImap
New-AuthenticationPolicy -Name "BlockAllBasicAuth"
Set-User -Identity <Nutzerkonto> -AuthenticationPolicy “AllowIMAP”
Set-OrganizationConfig -DefaultAuthenticationPolicy "BlockAllBasicAuth"

Das Ganze müsse auch noch für die Konten angepasst und durchgeführt werden, die SMTP respektive POP benötigen.

Von der Nutzung von Set-CASMailbox raten Microsofts Spezialisten hingegen ab. Zwar blockiere das auch die Protokolle, greife aber erst spät ein. Eine Authentifizierung erfolgt bei korrektem Passwort, lediglich der Datenzugriff werde dann verhindert. Auch die Fehlermeldung ist dadurch entlarvend. Anstatt The IMAP server responded with an error status "2 NO LOGIN failed." erhalten die Angreifer unter Umständen die Meldung The IMAP server responded with an error status "3 BAD User is authenticated but not connected.". Und die verrät, dass das Passwort zu dem Konto korrekt ist. Die Angreifer können das gegebenenfalls dann anderweitig nutzen.

(dmk)