Dopo vari annunci susseguitisi nel corso degli scorsi mesi, Microsoft ha appena reso ufficiale l’abbandono del vecchio sistema di autenticazione ai servizi Exchange ed un’altra serie di modifiche alle configurazioni tecniche. Questo a causa di un innalzamento delle misure di sicurezza che, a partire dai primi giorni di gennaio 2023 avranno finalmente inizio. I sistemi di autenticazione coinvolti in tali modifiche sono quelli cosiddetti “classici” ovvero il mero inserimento di un nickname (o email) e di una password per accedere alle caselle. I protocolli coinvolti in queste modifiche saranno Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell (RPS), Exchange Web Services (EWS) e Outlook. Tutte le modifiche varranno sia per i servizi Exchange installati su Windows sia per quelli su MAC.
L’SMTP AUTH, ovvero il protocollo per l’invio di posta elettronica, verrà inibito dai primi giorni di gennaio anche a tutti coloro che non ne stanno facendo uso e l’autenticazione di base verrà resa indisponibile in modo perpetuo, quindi senza possibilità di riattivazione. Questa decisione arriva alla fine di un percorso iniziato ben tre anni fa, nel 2019, quando venne inviato il primo promemoria a tutti i clienti che utilizzavano tali servizi. Questa iniziativa era partita dalle continue esortazioni provenienti dall’autorità per la cybersecurity americana, la CISA, che chiese alle agenzie governative di rivedere al rialzo le strategie di protezione degli account.
Coinvolgendo poi anche le aziende private, già allora veniva chiesto un passaggio rapido a nuovi sistemi di autenticazione rafforzata, come ad esempio la nota MFA, ovvero Multi Factor Authentication. La decisione di arrivare alla vera e propria disattivazione è stata in ultima analisi l’unica scelta possibile per aumentare in modo perpetuo le protezioni delle caselle, visto l’aumento spropositato dei rischi correlati al furto di credenziali visto che quasi nel 100% dei casi gli attacchi andavano a segno proprio a causa di credenziali deboli.
Oltretutto, per rinforzare l’idea di disattivare l’autenticazione di base, si è potuto dimostrare che coloro che hanno già disattivato questo metodo di accesso hanno visto ridurre di oltre il 60% il numero di compromissioni dei propri account. Come spesso accade, però, non tutti gli utenti di Exchange saranno edotti da questa novità ed a partire dall’inizio del 2023 saranno in tanti a non comprendere come mai non riescono più ad avere accesso ai propri servizi o non potranno richiedere un reminder delle password. A tale proposito, Microsoft ha anche diffuso una guida per togliere fin da subito l’autenticazione di base, al fine di non rimanere estromessi dai propri servizi e non poter più rimediare. Tale funzione è già presente da inizio ottobre e per leggerla è possibile guardare il link numero 3 delle fonti di questo articolo.