Ende von Basic Auth: Brute-Force-Angriffe auf Microsoft Exchange nehmen zu
Microsoft berichtet von vielen Angriffen auf E-Mail-Konten, die noch die einfache Authentifizierung nutzen. Kunden sollen rasch handeln.
Microsoft hat bereits lange vor der Abschaltung in Exchange vor Sicherheitsrisiken bei der einfachen Authentifizierung (Basic Auth) gewarnt. Offiziell wird die Anmeldemethode in Exchange Online deshalb seit dem 1. Oktober 2022 nicht mehr unterstützt - Golem.de berichtete. Nun scheinen sich relativ einfach ausführbare Angriffe auf Exchange-Konten zu häufen. Angreifende Parteien versuchen, mittels Password Spraying an Accounts und Daten zu gelangen.
"Wir haben kürzlich mehrere Indikatoren gesehen, die zeigen, dass viele unserer Kunden Ziel von Passwort-Spray-Angriffen sind, die die einfache Authentifizierung nutzen", schreibt Microsoft im Blog-Post. Passwort Sprays sind im Prinzip Brute-Force-Angriffe, bei denen automatisiert und in schneller Folge diverse Kontonamen, hier E-Mail-Adressen, und häufig genutzte Passwörter ausprobiert werden. Dabei verändern die Angreifer oft ihre IP-Adressen, um von automatisierten Sperren nicht entdeckt zu werden.
Attacken mittels Richtlinien einschränken
Microsoft empfiehlt daher, in Exchange Richtlinien einzurichten. Es sollen sich nur Accounts anmelden können, denen wirklich vertraut wird. Alle anderen Anmeldeversuche werden entsprechend von den Richtlinien eingeschränkt. Microsoft rät zur Eile: "Beginnen Sie am besten mit SMTP und IMAP und tun sie das heute noch!", heißt es.
Mithilfe der Exchange-Dokumentation können Admins nachlesen, wie sie hier am besten vorgehen. Microsoft empfiehlt, innerhalb der Azure-AD-Anmeldelogs erst einmal die häufig genutzten Accounts festzustellen. Dann kann eine Authentifizierungsrichtlinie relativ einfach mit vier Kommandos für jedes Protokoll implementiert werden. Dabei werden zwei Richtlinien für das Zulassen einzelner Konten und das Blocken aller anderen gesetzt und anschließend Konten zugewiesen. Das folgende Microsoft-Beispiel bezieht sich auf IMAP:
"New-AuthenticationPolicy -Name "AllowIMAP" -AllowBasicAuthImap"
"New-AuthenticationPolicy -Name "BlockAllBasicAuth""
"Set-User -Identity Bob -AuthenticationPolicy "AllowIMAP""
"Set-OrganizationConfig -DefaultAuthenticationPolicy "BlockAllBasicAuth""
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed










Eigentlich sollte es Vergangenheit sein. Es gibt allerdings Unternehmen, die das Ende von...