Ryzyko związane ze starszym uwierzytelnianiem – zacznij działaj już teraz

Starsze protokoły uwierzytelniania od dawna są ulubionym narzędziem hakerów - oferują łatwy dostęp do danych firmowych i skrzynek pocztowych, co całkowicie omija ochronę zapewnianą przez uwierzytelnianie wieloczynnikowe. W październiku 2022 r. Microsoft podejmie istotne działania w celu wyeliminowania tych zagrożeń, które - choć potrzebne - mogą uniemożliwić legalnym użytkownikom łączenie się z systemami. W tym artykule omówimy starsze uwierzytelnianie bardziej szczegółowo, pokażemy dokładnie, dlaczego stanowi ono takie zagrożenie dla bezpieczeństwa, oraz podamy przydatne informacje o tym, jak można zidentyfikować i zablokować jego użycie w swoim środowisku w kontrolowany sposób, zanim Microsoft na stałe wyłączy podstawowe uwierzytelnianie.

Czym jest starsze uwierzytelnianie (Legacy Authentication)?

Starsze uwierzytelnianie odnosi się do podstawowego uwierzytelniania, standardowej metody zbierania informacji o nazwie użytkownika i haśle. Uwierzytelnianie podstawowe jest zwykle używane przez protokoły pocztowe, takie jak IMAP, SMTP i POP3. Uwierzytelnianie podstawowe wymaga tylko jednej metody uwierzytelniania (hasła użytkownika) i jest stosowane wyłącznie przez starszych klientów poczty, którzy nie obsługują nowoczesnych protokołów uwierzytelniania.

Jakie są zagrożenia związane ze starszym uwierzytelnianiem?

Chociaż starsze metody uwierzytelniania są nadal powszechnie (i legalnie) stosowane w wielu organizacjach, stanowią one poważny słaby punkt bezpieczeństwa dla hakerów, zapewniając im dostęp "tylnymi drzwiami" do danych firmowych. Powód jest prosty - w przeciwieństwie do nowoczesnych protokołów uwierzytelniania, starsze metody uwierzytelniania nie rozumieją i nie respektują uwierzytelniania wieloczynnikowego (MFA). Oto kilka zaskakujących faktów z firmy Microsoft na temat starszego uwierzytelniania:

• Ponad 99 procent ataków polegających na rozpylaniu haseł wykorzystuje starsze protokoły uwierzytelniania
• Ponad 97 procent ataków polegających na upychaniu danych uwierzytelniających wykorzystuje dotychczasowe uwierzytelnianie
• Konta Azure AD w organizacjach, które wyłączyły starsze uwierzytelnianie, są zagrożone o 67 procent rzadziej niż te, w których starsze uwierzytelnianie jest włączone

Prześledźmy na przykładzie, dlaczego dotychczasowe uwierzytelnianie stanowi takie zagrożenie dla bezpieczeństwa. Za pomocą różnych podstępnych środków hakerowi udało się uzyskać listę skompromitowanych kombinacji nazw użytkowników i haseł dla Twojej organizacji - w tym niektórych członków kadry kierowniczej wyższego szczebla. Bez wątpienia informacje zawarte w skrzynkach pocztowych tych użytkowników mogą być przydatne w wielu dalszych działaniach hakerskich. "Ale to żaden problem" - słyszę, jak mówisz - "wszyscy nasi użytkownicy są chronieni przez MFA, a MFA może zablokować prawie wszystkie ataki na konta". O ile to stwierdzenie jest z pewnością prawdziwe (według Microsoftu jest to ponad 99,9% prawdy), o tyle często pomija się fakt, że MFA może blokować ataki naruszenia konta tylko w przypadku korzystania z nowoczesnego uwierzytelniania. MFA nie jest skuteczna w przypadku starszych protokołów uwierzytelniania.

Wróćmy do naszego przykładu - wszyscy Twoi użytkownicy są chronieni przez MFA, ale nie zablokowałeś starszych protokołów uwierzytelniania w swoim lokatorze. Haker może po prostu użyć skradzionej przez siebie kombinacji nazwy użytkownika i hasła za pomocą starszego klienta poczty, który nie korzysta z nowoczesnego uwierzytelniania (takiego jak Outlook 2010 i niższy). W tym momencie wszelkie zasady MFA dla poszczególnych użytkowników lub zasady dostępu warunkowego, które zostały wdrożone w celu egzekwowania MFA, są całkowicie omijane. Haker łączy się do skrzynki pocztowej, używając tylko hasła, i natychmiast synchronizuje całą zawartość skrzynki pocztowej na swoim urządzeniu lokalnym za pomocą starszego protokołu uwierzytelniania, takiego jak SMTP, POP3 lub IMAP. W tym momencie użytkownik skutecznie traci kontrolę nad danymi. Nawet jeśli zaatakowany użytkownik zmieni hasło lub zablokujesz starsze uwierzytelnianie na poziomie lokatora (w obu przypadkach synchronizacja poczty zostanie przerwana), haker nadal będzie miał pełną kopię skrzynki pocztowej w trybie offline do tego momentu. Może ją dowolnie przeglądać w wybranym przez siebie celu. Może to być kradzież danych i tożsamości lub odkrycie poufnych informacji, które mogą prowadzić do prób szantażu i wyłudzeń.

Podsumowując - aby funkcja MFA była skuteczna, należy również zablokować starsze uwierzytelnianie. Przyjrzyjmy się teraz, jaka jest odpowiedź Microsoftu na starsze uwierzytelnianie oraz jak można je zidentyfikować i zablokować we własnym środowisku, zanim Microsoft zrobi to za nas!

Co Microsoft robi ze starszym uwierzytelnianiem?

Firma Microsoft bardzo poważnie traktuje zagrożenie związane ze starszym uwierzytelnianiem i od wielu lat podnosi świadomość ryzyka, jakie ono stwarza. Na poziomie proaktywnym, starsze uwierzytelnianie zostało domyślnie zablokowane jako część domyślnych zabezpieczeń usługi Azure Active Directory dla wszystkich nowych dzierżawców od października 2019 r. Nie jest to jednak wystarczające i wiele organizacji posiadających starszych dzierżawców nadal aktywnie korzysta ze starszych protokołów uwierzytelniania.

W odpowiedzi na to firma Microsoft opublikowała we wrześniu 2021 r. wpis na blogu, w którym ogłosiła, że z dniem 1 października 2022 r. na stałe wyłączy podstawowe uwierzytelnianie we wszystkich dzierżawach, niezależnie od sposobu użycia (z wyjątkiem SMTP auth). W tym czasie wszyscy Klienci i aplikacje używające podstawowego uwierzytelniania (z wyjątkiem SMTP auth.) zostaną dotknięte tym problemem i nie będą mogły się połączyć. Nie będzie to miało wpływu na klientów i aplikacje korzystające z nowoczesnego uwierzytelniania.

Należy pamiętać, że Exchange ActiveSync jest również starszą metodą uwierzytelniania. Wspominam o tym, ponieważ podczas moich licznych spotkań z klientami wciąż widzę częste korzystanie z ActiveSync - głównie z urządzeń mobilnych wykorzystujących starsze systemy operacyjne z natywnym klientem poczty dla systemów iOS i Android. Od października 2022 r. takie urządzenia nie będą mogły łączyć się z serwerami pocztowymi i pobierać lub wysyłać wiadomości.

Jak wielu pracowników i służb może to dotyczyć? Następna część pomoże odpowiedzieć na te pytania.

Co mogę zrobić, aby zidentyfikować i zablokować starsze uwierzytelnianie?

Istnieje kilka sposobów, na jakie starsze uwierzytelnianie może zostać zablokowane w usłudze Office 365. Jeśli włączyłeś domyślne ustawienia zabezpieczeń (ręcznie lub Twój dzierżawca został utworzony od października 2019 r.), to będzie ono już dla Ciebie zablokowane na poziomie dzierżawcy. Można ją również zablokować bezpośrednio w Exchange Online. Jeśli jednak posiadasz licencję Microsoft na Azure AD Premium P1, najlepszą metodą na zablokowanie starszego uwierzytelniania jest użycie dostępu warunkowego (CA). W przeciwieństwie do domyślnych zabezpieczeń, polityki CA pozwalają na skonfigurowanie wyjątków. Może to być przydatne w przypadku, gdy pracujemy nad nowoczesnym uwierzytelnianiem dla określonych usług i potrzebujemy trochę więcej czasu przed zablokowaniem dostępu do nich za pomocą starszego uwierzytelniania. Należy jednak pamiętać, że od października 2022 będzie to możliwe tylko dla usług uwierzytelniających się poprzez SMTP - wszystkie inne starsze protokoły autoryzacji będą domyślnie zablokowane dla Exchange Online (bez wyjątku).

Użycie starszego uwierzytelniania można łatwo zidentyfikować w usłudze Azure Active Directory, przeglądając logi logowania. Dodaj nowy filtr dla aplikacji Client, a następnie wybierz filtr i zaznacz wszystkie opcje dla Legacy Authentication Clients. Spowoduje to wyświetlenie wszystkich przypadków użycia starszego uwierzytelniania - w tym użytkownika uwierzytelniającego, urządzenia, z którego korzysta, oraz używanego protokołu uwierzytelniania. Sprawdź, czy uwierzytelnianie przy użyciu protokołów takich jak POP3 i IMAP z lokalizacji, które są nietypowe (lub niemożliwe) dla danego użytkownika, przebiega pomyślnie. Jest to mocny dowód na to, że konto zostało naruszone, a skrzynka pocztowa użytkownika jest synchronizowana z nieautoryzowanym urządzeniem. W takich przypadkach zaleca się, aby użytkownik natychmiast zresetował swoje hasło. Zapobiegnie to kolejnym udanym synchronizacjom, chociaż niewiele można zrobić z danymi, które już wyciekły.

Oprócz dzienników logowania do usługi Azure AD firma Microsoft udostępnia również dodatkowe narzędzia, które pomagają zidentyfikować starsze uwierzytelnianie w danym dzierżawcy. Biorąc pod uwagę duże wykorzystanie ActiveSync w środowiskach klientów, zalecam, aby na początku skupić się na tym problemie, ponieważ zablokowanie go może mieć wpływ na wielu użytkowników, a w przypadku urządzeń mobilnych przejście z ActiveSync na nowoczesne uwierzytelnianie jest stosunkowo proste. Firma Apple obsługuje nowoczesne uwierzytelnianie w swojej rodzimej aplikacji pocztowej od systemu iOS 11, a od systemu iOS 14 powinna automatycznie przełączać użytkowników na nowoczesne uwierzytelnianie. Widziałem jednak przypadki, w których użytkownicy musieli wylogować się z firmowego konta pocztowego i ponownie się na nie zalogować, zanim nastąpiło przełączenie na nowoczesne uwierzytelnianie. W przypadku systemu operacyjnego Android sytuacja nie jest tak jednoznaczna - z uwagi na duże zróżnicowanie urządzeń, systemów operacyjnych i natywnych aplikacji pocztowych. Szczególnie w przypadku systemu Android (ale także iOS) zdecydowanie polecam korzystanie z oficjalnej aplikacji mobilnej Microsoft Outlook. Aplikacja ta nie tylko w pełni obsługuje nowoczesne uwierzytelnianie, ale można w niej również stosować zasady ochrony aplikacji w celu szyfrowania, ochrony i bezpiecznego wymazywania danych firmowych przechowywanych w aplikacji Outlook. Nie ma to wpływu na dane osobowe przechowywane na urządzeniu i nie wymaga pełnego zapisania urządzenia do rozwiązania do zarządzania urządzeniami mobilnymi (MDM).