Microsoft anunció planes para mejorar la seguridad de la autenticación Entra ID mediante el bloqueo de ataques de inyección de scripts maliciosos a partir de un año.
La actualización de la Política de seguridad de contenido (CSP) tiene como objetivo mejorar la experiencia de inicio de sesión de Entra ID en ‘login.microsoftonline(.)com’ al permitir que solo se ejecuten scripts de dominios confiables de Microsoft.
«Esta actualización fortalece la seguridad y agrega una capa adicional de protección al permitir que solo se ejecuten scripts de dominios confiables de Microsoft durante la autenticación y bloquear la ejecución de código no autorizado o inyectado durante la experiencia de inicio de sesión», dijo el fabricante de Windows.
Específicamente, solo permitimos descargas de scripts desde dominios CDN confiables de Microsoft y ejecución de scripts en línea desde fuentes confiables de Microsoft. La política actualizada se limita a experiencias de inicio de sesión basadas en navegador para URL que comienzan con login.microsoftonline.com. Los ID externos de Microsoft Entra no se ven afectados.
El cambio se describe como una medida de precaución y es parte de la Iniciativa Futuro Seguro (SFI) de Microsoft, diseñada para proteger a los usuarios de ataques de secuencias de comandos entre sitios (XSS) que permiten la inyección de código malicioso en sitios web. Está previsto que se implemente en todo el mundo desde mediados hasta finales de octubre de 2026.
Microsoft recomienda que las organizaciones prueben minuciosamente su flujo de inicio de sesión con anticipación para garantizar que no haya problemas y que la experiencia de inicio de sesión sea perfecta.
También recomendamos a los clientes que se abstengan de utilizar extensiones o herramientas del navegador que inserten código o secuencias de comandos en la experiencia de inicio de sesión de Microsoft Entra. Se anima a quienes sigan este enfoque a cambiar a otras herramientas que no inyecten código.
Para identificar violaciones de CSP, ejecute el flujo de inicio de sesión con la Consola de desarrollador abierta, acceda a las herramientas de la consola del navegador dentro de las herramientas de desarrollador y verifique si hay errores de «Carga de script rechazada» que violan las directivas «script-src» y «nonce».
El SFI de Microsoft es un esfuerzo de varios años para dar prioridad a la seguridad al diseñar nuevos productos y prepararse mejor para amenazas cibernéticas cada vez más sofisticadas.
Esto se introdujo por primera vez en noviembre de 2023 y se amplió en mayo de 2024 tras un informe de la Junta de Revisión de Seguridad Cibernética de EE. UU. (CSRB) que concluyó que la «cultura de seguridad de la empresa es inadecuada y requiere una revisión completa».
En su tercer informe de progreso publicado este mes, el gigante tecnológico dijo que ha implementado más de 50 nuevas detecciones en su infraestructura dirigidas a tácticas, técnicas y procedimientos de alta prioridad, alcanzando una tasa de adopción del 99,6% de autenticación multifactor (MFA) resistente al phishing para usuarios y dispositivos.
Otros cambios notables promulgados por Microsoft incluyen:
Se implementó MFA obligatorio en todos los servicios, incluidos todos los usuarios de servicios de Azure. Se introdujo la recuperación automática con Quick Machine Recovery, se expandió la clave de acceso y la compatibilidad con Windows Hello, y se mejoró la seguridad de la memoria para el firmware y los controladores UEFI mediante Rust. Se migró el 95 % de las máquinas virtuales de firma de ID de Microsoft Entra a Azure Confidential Compute y se migró el 94,3 % de la validación del token de seguridad de Microsoft Entra ID al kit de desarrollo de software (SDK) de ID estándar. Retirar el uso de Active Directory Federation Services (ADFS) en nuestros entornos de productividad. Retirar un adicional. 560 000 inquilinos obsoletos y no utilizados y 83 000 aplicaciones Microsoft Entra ID no utilizadas en entornos de producción y productividad de Microsoft Búsqueda avanzada de amenazas con seguimiento central del 98 % de la infraestructura de producción Logre un inventario completo de dispositivos de red y una gestión madura del ciclo de vida de los activos Bloquea casi por completo la firma de código para ID de producción Publica 1096 CVE, incluidos 53 CVE en la nube sin acción, paga $17 y recibe 1 millón de recompensa
«Para adherirse a los principios de Zero Trust, las organizaciones deben utilizar herramientas de seguridad integradas e inteligencia sobre amenazas para automatizar la detección, respuesta y remediación de vulnerabilidades», dijo Microsoft. «Mantener la visibilidad en tiempo real de los incidentes de seguridad en entornos híbridos y de nube permite una contención y recuperación más rápidas».
Source link
