Microsoft ha anunciado planes para mejorar la seguridad de la autenticación Entra ID mediante el asedio de ataques de inyección de scripts no autorizados a partir de internamente de un año.
La modernización de su Política de seguridad de contenido (CSP) tiene como objetivo mejorar la experiencia de inicio de sesión de Entra ID en “login.microsoftonline(.)com” al permitir que solo se ejecuten scripts de dominios confiables de Microsoft.
“Esta modernización fortalece la seguridad y agrega una capa adicional de protección al permitir que solo se ejecuten scripts de dominios confiables de Microsoft durante la autenticación, bloqueando la ejecución de código no calificado o inyectado durante la experiencia de inicio de sesión”, dijo el fabricante de Windows.
Específicamente, solo permite descargas de scripts desde dominios CDN confiables de Microsoft y ejecución de scripts en término desde una fuente confiable de Microsoft. La política actualizada se limita a experiencias de inicio de sesión basadas en navegador para URL que comienzan con login.microsoftonline.com. La identificación externa de Microsoft Entra no se verá afectada.
El cambio, que ha sido descrito como una medida proactiva, es parte de la Iniciativa Futuro Seguro (SFI) de Microsoft y está diseñado para proteger a los usuarios contra ataques de secuencias de comandos entre sitios (XSS) que hacen posible inyectar código astuto en sitios web. Se calma que se implemente a nivel mundial a partir de mediados o finales de octubre de 2026.
Microsoft insta a las organizaciones a probar exhaustivamente sus flujos de inicio de sesión con anticipación para avalar que no haya problemas y que la experiencia de inicio de sesión no tenga fricciones.
Todavía recomienda a los clientes que se abstengan de utilizar extensiones o herramientas del navegador que inyecten código o secuencias de comandos en la experiencia de inicio de sesión de Microsoft Entra. Se recomienda a quienes sigan este enfoque que cambien a otras herramientas que no inyecten código.
Para identificar cualquier infracción de CSP, los usuarios pueden seguir un flujo de inicio de sesión con la consola de incremento abierta y ceder a la útil Consola del navegador internamente de las herramientas de desarrollador para comprobar si hay errores que digan “Se negó a cargar el script” por ir en contra de las directivas “script-src” y “nonce”.
El SFI de Microsoft es un esfuerzo de varios primaveras que investigación poner la seguridad por encima de todo al diseñar nuevos productos y prepararse mejor para la creciente sofisticación de las amenazas cibernéticas.
Se lanzó por primera vez en noviembre de 2023 y se amplió en mayo de 2024 tras un documentación de la Reunión de Revisión de Seguridad Cibernética de EE. UU. (CSRB), que concluyó que la “civilización de seguridad de la empresa era inadecuada y requiere una revisión”.
En su tercer documentación de progreso publicado este mes, el coloso tecnológico dijo que ha implementado más de 50 nuevas detecciones en su infraestructura para apuntar a tácticas, técnicas y procedimientos de suscripción prioridad, y que la acogida de autenticación multifactor (MFA) resistente al phishing para usuarios y dispositivos ha ajustado el 99,6%.
Otros cambios notables promulgados por Microsoft son los siguientes:
- MFA obligatoria aplicada en todos los servicios, incluidos todos los usuarios de servicios de Azure
- Se introdujeron capacidades de recuperación cibernética a través de Quick Machine Recovery, esencia de camino ampliada y compatibilidad con Windows Hello, y seguridad de memoria mejorada en firmware y controladores UEFI mediante el uso de Rust.
- Migré el 95 % de las máquinas virtuales de firma de ID de Microsoft Entra a Azure Confidential Compute y moví el 94,3 % de la energía del token de seguridad de Microsoft Entra ID a su kit de incremento de software (SDK) de identidad estereotipado.
- Se suspendió el uso de Servicios de tratado de Active Directory (ADFS) en nuestro entorno de productividad.
- Se desmantelaron 560 000 inquilinos adicionales no utilizados y antiguos y 83 000 aplicaciones Microsoft Entra ID no utilizadas en entornos de producción y productividad de Microsoft.
- Búsqueda vanguardia de amenazas mediante el seguimiento centralizado del 98 % de la infraestructura de producción.
- Se logró un inventario completo de dispositivos de red y una dirección madura del ciclo de vida de los activos.
- Firma de código casi completamente bloqueada en identidades de producción
- Publicó 1.096 CVE, incluidos 53 CVE en la cirro sin actividad, y pagó 17 millones de dólares en recompensas.
“Para alinearse con los principios de Confianza Cero, las organizaciones deben automatizar la detección, respuesta y remediación de vulnerabilidades utilizando herramientas de seguridad integradas e inteligencia sobre amenazas”, dijo Microsoft. “Persistir la visibilidad en tiempo existente de los incidentes de seguridad en entornos híbridos y de cirro permite una contención y recuperación más rápidas”.
