Für Exchange Online hat Microsoft bereits die unsichere und angreifbare Anmeldung mittels Basic Authentication für diverse Protokolle deaktiviert. SMTP AUTH hat das Unternehmen jedoch nicht angerührt. Das soll sich ändern – und nun verschiebt Microsoft die Pläne weiter nach hinten.

Bislang hat Microsoft die einfache Nutzernamen-Passwort-Anmeldung für MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP und Remote PowerShell abgedreht. Im April 2024 hatte Microsoft dann Pläne angekündigt, nun auch SMTP AUTH Basic auslaufen zu lassen, ursprünglich beginnend ab März 2026. Am Dienstag dieser Woche hat Microsoft nun einen neuen Zeitplan für das Ende von SMTP AUTH Basic herausgegeben.

SMTP AUTH Basic: Neuer Zeitplan zur Abschaltung

In dem Blog-Beitrag schreibt Microsoft, dass bis Dezember 2026 das SMTP-AUTH-Basic-Authentifizierungsverhalten unverändert bleibe. Ende Dezember 2026 deaktiviert Microsoft standardmäßig für alle bestehenden Tenants SMTP AUTH Basic Authentication – Admins haben jedoch noch die Möglichkeit, das bei Bedarf wieder zu aktivieren.

Neue, nach dem Dezember 2026 angelegte Tenants haben standardmäßig SMTP AUTH Basic nicht mehr zur Auswahl. Hier kommt OAuth als unterstützte Authentifizierungsmethode zum Einsatz. In der zweiten Jahreshälfte 2027 will Microsoft dann das endgültige Datum für die Entfernung von SMTP AUTH Basic ankündigen.

Microsoft will mit der aktualisierten Roadmap Kunden mehr Zeit für die Planung, Überprüfung und Indienststellung moderner Authentifizierungsalternativen verschaffen. Jedoch bewege sich das Unternehmen weiterhin auf einem klaren Weg Richtung stärkerer Standardsicherheit.

Es scheint ein wiederkehrendes Muster zu sein, dass Microsoft die Umsetzung neuer Sicherheitsmaßnahmen ankündigt, diese dann jedoch immer wieder verschieben muss. Einige geplante Schutzmaßnahmen sagt Microsoft sogar ganz ab, etwa Anfang des Monats Beschränkungen, die vor Spam schützen sollten – diese kommen nun doch nicht.

(dmk)

Noch immer haben es Angreifer auf FortiOS, FortiManager und FortiAnalyzer mit aktiviertem FortiCloud-SSO-Log-in abgesehen und erstellen sich Admin-Accounts. So können sie die volle Kontrolle über Geräte erlangen. Ein funktionierender Sicherheitspatch ist bislang nicht verfügbar. Geräte sollen aber durch eine serverseitige Einstellung durch Fortinet vorerst geschützt sein.

Historie

FortiCloud-SSO ist standardmäßig nicht aktiv. Achtung: Registrieren Admins Geräte über FortiCare, wird SSO automatisch aktiviert. Schon seit vergangenem Dezember kämpft Fortinet mit „kritischen“ SSO-Lücken (CVE-2025-59718, CVE-2025-59719) und hat Sicherheitspatches veröffentlicht. Seitdem gibt es auch Attacken.

Im Januar stellte sich dann heraus, dass Angreifer die Sicherheitsupdates umgehen und Geräte weiter attackieren. Nun hat Fortinet einen Beitrag mit Hintergründen zu den laufenden Angriffen veröffentlicht. Darin finden Admins unter anderem Hinweise (Indicators of Compromise, IoC), woran sie attackierte Instanzen erkennen können.

Zusätzlich hat das Unternehmen eine Warnmeldung publiziert und darin im Kontext der SSO-Attacken eine neue Zero-Day-Sicherheitslücke (CVE-2026-24858 „kritisch“) eingetragen.

Geräte laut Fortinet temporär geschützt

Angreifer setzen mit präparierten SAML-Anfragen an der Lücke an und umgehen die Authentifizierung. Fortinet weist darauf hin, dass sie derzeit Attacken im Kontext von FortiCloud-SSO beobachtet haben, das Sicherheitsproblem gelte aber für alle SAML-SSO-Implementierungen.

Sicherheitspatches sind Fortinet zufolge in Entwicklung. Wann sie veröffentlicht werden, ist aber bislang unklar. Um die Gefahr bis zum Erscheinen von Updates einzudämmen, gibt Fortinet an, den FortiCloud-SSO-Zugriff für verwundbare Geräte gesperrt zu haben. Demzufolge müssen Admins, wie zuvor empfohlen, den SSO-Login nicht mehr manuell deaktivieren.

FortiAnalyzer 6.4, FortiManager 6.4 und FortiOS 6.4. sind dem Unternehmen zufolge nach jetzigem Kenntnisstand nicht verwundbar. FortiProxy 7.0 und 7.2 bekommen keine Sicherheitsupdates. An dieser Stelle ist ein Upgrade nötig. Die Anfälligkeit von FortiSwitch Manager und FortiWeb werde derzeit geprüft. Weitere Informationen zu den angekündigten Sicherheitspatches finden sich in der Warnmeldung.

(des)

WhatsApp kann als Einfallstor für Schadsoftware dienen: In den vergangenen Monaten kursierten Berichte, denen zufolge sowohl iPhones als auch Samsung-Galaxy-Geräte über den Meta-Messenger angegriffen wurden. Um Angreifern möglichst wenig Angriffsfläche zu bieten, integriert Meta in seinen Messenger eine neue Funktion, die mit einem Klick erweiterte Datenschutz- und Sicherheitsfunktionen aktiviert. Die Funktion nennt sich „strikte Kontoeinstellungen“.

WhatsApp macht auf Wunsch dicht

Laut Meta wurde die neue Funktion in erster Linie für Benutzerinnen und Benutzer wie Journalistinnen und Journalisten oder Personen des öffentlichen Lebens entwickelt, die auf strenge Sicherheitsvorkehrungen gegen seltene und äußerst raffinierte Cyberangriffe angewiesen sein können. Wenn man die Funktion aktiviert, werden bestimmte Kontoeinstellungen auf die strengsten Sicherheitsstufen festgelegt, erklärt das Unternehmen. Dadurch werden etwa einige WhatsApp-Funktionen eingeschränkt.

Nach Aktivierung der „strikten Kontoeinstellungen“ unter „Einstellungen“ > „Datenschutz“ > „Erweitert“ blockiert das Feature unter anderem sämtliche Medien von unbekannten Absendern. Zudem wird die Linkvorschau ausgestellt und Anrufe von unbekannten Nummern werden stummgeschaltet. Diese werden jedoch in der Anrufübersicht angezeigt. Außerdem schränkt das Feature Gruppeneinladungen ein und erzwingt eine zweistufige Verifizierung. Ferner begrenzen die „strikten Kontoeinstellungen“ die Sichtbarkeit von Profilen. Sie leiten obendrein Anrufe über WhatsApp-Server weiter, um die eigene IP-Adresse zu verschleiern.

Des Weiteren sind der „Zuletzt online“-Zeitstempel und der „Online“-Status, das Profilbild sowie die Nutzerinfo nur für die eigenen Kontakte oder eine zuvor festgelegte, eingeschränktere Liste von Personen sichtbar, erklärt Meta. Auch rät Meta Nutzern mit aktivierten Backups, die Ende-zu-Ende-verschlüsselte Backup-Funktion zu verwenden.

Gut versteckt

Nutzer sollten die Einstellungen nur aktivieren, wenn sie dazu einen Anlass sehen, betont das Unternehmen – etwa wenn man glaubt, Ziel einer „raffinierten Cyberkampagne“ zu sein. „Die meisten Personen sind von solchen Angriffen nicht betroffen“, heißt es weiter. Nutzer, die WhatsApp mit einem möglichst weitreichenden Schutz verwenden wollen, können die Funktion dennoch aktivieren, jedoch ist die Einstellung nicht prominent platziert.

Laut WhatsApp können Nutzerinnen und Nutzer die neuen strikten Kontoeinstellungen nur über das Hauptgerät ein- und ausschalten. Weiter heißt es, dass Nutzer alle gegen Änderungen gesperrte Einstellungen unter dem Punkt „Einstellungen“ > „Datenschutz“ > „Erweitert“ > „Strikte Kontoeinstellungen“ > „Gesperrte Einstellungen“ ansehen können.

(afl)