Microsoft ได้ประกาศว่าแอป Microsoft 365 สำหรับ Windows จะเริ่มบล็อกการเข้าถึงไฟล์ผ่านโปรโตคอลการยืนยันตัวตนแบบเก่าที่ไม่ปลอดภัยอย่าง FPRPC (FrontPage Remote Procedure Call) เป็นค่า default ตั้งแต่ช่วงปลายเดือนสิงหาคมนี้เป็นต้นไป
การเปลี่ยนแปลงดังกล่าวมีผลเฉพาะกับแอป Microsoft 365 สำหรับ Windows เท่านั้น และจะไม่มีผลกระทบต่อผู้ใช้งาน Microsoft Teams บนแพลตฟอร์ม Windows, Mac, เว็บ, iOS หรือ Android
Microsoft ระบุในข้อความประกาศใหม่บน Microsoft 365 Admin Center เมื่อวันพุธที่ผ่านมาว่า “แอป Microsoft 365 จะบล็อกโปรโตคอลการเปิดไฟล์ที่ไม่ปลอดภัย เช่น FPRPC เป็นค่า default เริ่มตั้งแต่เวอร์ชัน 2508 เป็นต้นไป พร้อมเพิ่มการตั้งค่าใหม่ใน Trust Center เพื่อจัดการโปรโตคอลเหล่านี้”
“การเปลี่ยนแปลงเหล่านี้ช่วยเพิ่มความปลอดภัยโดยลดความเสี่ยงจากการใช้เทคโนโลยีที่ล้าสมัย เช่น FrontPage Remote Procedure Call (FPRPC), FTP และ HTTP”
เริ่มตั้งแต่เวอร์ชัน 2508 ของแอป Microsoft 365 เป็นต้นไป การเปิดไฟล์โดยใช้โปรโตคอล FPRPC แบบเก่าจะถูกบล็อกเป็นค่า default และจะเปลี่ยนไปใช้โปรโตคอล fallback ที่มีความปลอดภัยมากกว่าแทน การเปลี่ยนแปลงนี้จะเริ่มทยอยเปิดให้ใช้งานโดยทั่วไปในช่วงปลายเดือนสิงหาคม 2025 นี้ และคาดว่าจะมีผลกับผู้เช่าทั้งหมดภายในปลายเดือนกันยายนนี้
การตั้งค่าใหม่ใน Trust Center จะช่วยให้ผู้ใช้สามารถเปิดใช้งาน FPRPC ได้อีกครั้ง เว้นแต่จะถูกควบคุมโดย Group Policy หรือ Cloud Policy Service (CPS) นอกจากนี้ ผู้ใช้ยังสามารถปิดการใช้งานการเปิดไฟล์ผ่าน FTP และ HTTP ได้ แม้ว่าจะยังถูกอนุญาตให้ใช้ได้โดยค่า default
ผู้ดูแลระบบสามารถจัดการการตั้งค่าโปรโตคอลการยืนยันตัวตนได้ผ่านบริการ Cloud Policy Service (CPS) ภายใต้การตั้งค่าของ Microsoft 365 Apps หากโปรโตคอลถูกปิดการใช้งานผ่าน CPS ผู้ใช้จะไม่สามารถเปิดใช้งานได้อีกจาก Trust Center
การเปลี่ยนแปลงครั้งนี้เกิดขึ้นหลังจากประกาศเมื่อเดือนมิถุนายนที่ผ่านมาว่า Microsoft จะเริ่มอัปเดตการตั้งค่าความปลอดภัยเริ่มต้นสำหรับ Microsoft 365 tenants ทั้งหมด เพื่อบล็อกการเข้าถึงไฟล์ผ่านโปรโตคอลการยืนยันตัวตนแบบเก่า เช่น RPS (Relying Party Suite) และ FPRPC (FrontPage Remote Procedure Call) และเพื่อป้องกันผู้ใช้จากการโจมตีแบบ brute-force และ phishing ที่อาศัยช่องโหว่จากวิธีการยืนยันตัวตนที่ล้าสมัยนี้
ตั้งแต่ต้นปีที่ผ่านมา Microsoft ยังได้เริ่มปิดการใช้งาน ActiveX controls ทั้งหมดในแอป Microsoft 365 และ Office 2024 เวอร์ชันสำหรับ Windows และยังได้เปิดเผยว่าในเดือนกรกฎาคมจะเปิดตัวฟีเจอร์ใหม่ใน Teams ที่ออกแบบมาเพื่อบล็อกการจับภาพหน้าจอระหว่างการประชุมอีกด้วย
และเมื่อไม่นานมานี้ Microsoft ยังได้ประกาศว่าจะเพิ่มไฟล์ประเภท .library-ms และ .search-ms เข้าไปในรายการไฟล์แนบที่ถูกบล็อกใน Outlook โดยเริ่มมีผลตั้งแต่เดือนกรกฎาคมที่ผ่านมา
ที่มา : bleepingcomputer.