Microsoft ilmoitti syyskuussa 2019 poistavansa Legacy-autentikointimahdollisuuden usealta eri O365-sähköpostiin liittyvältä protokollalta. Legacy-autentikointimahdollisuus tullaan poistamaan lokakuussa 2020 protokollilta POP, IMAP, EWS, ActiveSync sekä Remote PowerShell.
Legacy-autentikointitavalla tarkoitetaan perinteistä käyttäjätunnus-/salasanayhdistelmää.
SMTP-autentikointiin ei tässä vaiheessa kosketa. Tähän on varmastikin selkeänä syynä yrityksissä laajasti käytössä olevat monitoimilaitteet sekä eri järjestelmät, jotka hyödyntävät O365-sähköpostin lähetysmahdollisuuksia.
Myös Google on ilmoittanut tekevänsä vastaavat muutokset palveluihinsa helmikuussa 2021.
Lähde: https://support.microsoft.com/en-us/help/4521831/exchange-online-deprecating-basic-auth
Mitä tämä muutos käytännössä tarkoittaa?
Muutos ei tule vaikuttamaan Outlook-sähköpostiohjelman käyttäjiin PC-, MacOS- tai mobiilialustoilla, mikäli ne on jo konfiguroitu käyttämään modernia autentikointitapaa.
Uudempia IOS-laitteita, joissa käytetään natiiveja IOS:n omia sähköpostiohjelmia, ei muutos myöskään koske. Postiprofiili täytyy kuitenkin luoda laitteelle uudelleen, mikäli se on alun perin asetettu käyttäen legacy-autentikointitapaa.
Perinteisiä sähköpostipostiprotokollia, kuten IMAP ja POP, tämä muutos tulee koskemaan ja sen vaikutus organisaatiossa saattaa olla hyvinkin suuri. Merkittävä osa eri järjestelmistä käyttää kyseisiä protokollia sähköposti-integraatiossaan, esimerkkinä erinäiset asiakastuen järjestelmät. Microsoft kertoi, että he ovat tuomassa IMAP- ja POP-protokollille modernin autentikoinnin tuen, mutta toistaiseksi sellaista ei ole julkaistu.
EWS (Exchange Web Services) -protokollaa käyttäviä erinäisiä sovelluksia kuten kalenteritietoja saatetaan lukea erinäisiin kolmansien osapuolien neuvottelulaitteistoihin. EWS:n osalta Microsoftin suositus on siirtyä käyttämään Microsoft Graph APIa tai muuttaa EWS käyttämään modernia autentikointitapaa. Lisätietoja asiasta löytyy linkistä:
Legacy-autentikointitavan poisto Remote Powershellistä puolestaan vaikuttaa käytännössä ainoastaan O365-ylläpitäjiin. Microsoft on julkaissut ylläpitäjille päivitetyt PowerShell-moduulit, jotka tukevat modernia autentikointitapaa.
Miksi Microsoft tekee tämän?
Microsoft kertoo estävänsä autentikointitavan poistolla Brute Force ja Password Spray -hyökkäykset, joissa yritetään saada käyttäjien tunnukset haltuun ja päästä näin murtautumaan organisaatioihin.
Toinen syy muutokselle on se, että vaikka O365-asiakasorganisaatiot ovatkin ottaneet laajasti käyttöönsä kaksivaiheista tunnistaumista (Multi Factor Authentication), se ei anna suojaa Legacy-autentikoititavan osalta, kun kyseessä on POP, IMAP, EWS, SMTP tai Remote Powershell. Kaksivaiheista tunnistautumista ei kysytä, kun kyseisiä protokollia käytetään postilaatikoihin kytkeytymiseen. Kun tunnukset on saatu haltuun kalasteluviestin tai Brute Force ja Password Spray -tyyppisten hyökkäystapojen avulla, on kaksivaiheisen tunnistautumisen ohi päästy käyttämällä nimenomaan legacy-autentikointia tukevia protokollia.
Näin jälkiviisaana voidaankin todeta, että Microsoftin olisi tullut oletuksena asettaa protokollat pois käytöstä postilaatikoilta ja opastaa asiakkaitaan ottamaan ne ainoastaan käyttöön sellaisille käyttäjille/palveluille, jotka niitä tarvitsevat. Tyypillinen PC/Mac Outlook -käyttäjä ei kyseisiä protokollia tarvitse käyttöönsä, mutta silti palvelut ovat oletuksena asetettuna päälle uusissa postilaatikoissa.
Miten varautua tulevaan muutokseen?
Mikäli organisaatiossasi ei vielä ole aloitettu asiaan valmistautumista, on nyt korkea aika aloittaa selvitystyö. Vielä parempi olisi, jos organisaatiot tekisivät tarvittavat disabloinnit jo itse etukäteen vähentääkseen uhkia. Suosituksia on jo pitkään esitetty sekä Microsoftin että eri asiantuntijoiden toimesta.
En jättäisi toimenpiteitä ainakaan sen varaan, että Microsoft siirtäisi takarajaa tuonnemmaksi. Legacy-autentikointitapojen käyttö aiheuttaa tälläkin hetkellä organisaatiossa tietoturvauhan.
Muutama vinkki mitä tulisi tehdä
- Selvitä sovellukset ja järjestelmät, jotka käyttävät legacy-autentikointia. Ole asiasta yhteydessä kyseisiä protokollia käyttävien sovellusten toimittajiin ja pyydä heitä selvittämään mahdollisuus siirtyä käyttämään modernia autentikointitapaa tai Microsoft Craph APIa.
- Selvitä käyttäjät, jotka käyttävät ns. natiivisähköpostiohjelmia mobiililaitteissaan. Esimerkkinä eri Android-mallit.
- Aloita legacy-autentikontitapojen poistaminen välittömästi käyttäjiltä, jotka eivät kyseisiä protokollia käytä tai tarvitse.
- Vaikka SMTP-legacy-autentikointi jätettäisiin edelleen käyttöön, suosittelen vahvasti sen disablointia organisaatiotasolla ja sallimisen ainoastaan rajatuille, sitä tarvitseville postilaatikoille.
