Microsoft ha anunciado planes para mejorar la seguridad de la autenticación Entra ID mediante el bloqueo de ataques de inyección de scripts no autorizados a partir de dentro de un año.
La actualización de su Política de seguridad de contenido (CSP) tiene como objetivo mejorar la experiencia de inicio de sesión de Entra ID en «login.microsoftonline(.)com» al permitir que solo se ejecuten scripts de dominios confiables de Microsoft.
«Esta actualización fortalece la seguridad y agrega una capa adicional de protección al permitir que solo se ejecuten scripts de dominios confiables de Microsoft durante la autenticación, bloqueando la ejecución de código no autorizado o inyectado durante la experiencia de inicio de sesión», dijo el fabricante de Windows.
Específicamente, solo permite descargas de scripts desde dominios CDN confiables de Microsoft y ejecución de scripts en línea desde una fuente confiable de Microsoft. La política actualizada se limita a experiencias de inicio de sesión basadas en navegador para URL que comienzan con login.microsoftonline.com. La identificación externa de Microsoft Entra no se verá afectada.
El cambio, que ha sido descrito como una medida proactiva, es parte de la Iniciativa Futuro Seguro (SFI) de Microsoft y está diseñado para proteger a los usuarios contra ataques de secuencias de comandos entre sitios (XSS) que hacen posible inyectar código malicioso en sitios web. Se espera que se implemente a nivel mundial a partir de mediados o finales de octubre de 2026.
Microsoft insta a las organizaciones a probar exhaustivamente sus flujos de inicio de sesión con anticipación para garantizar que no haya problemas y que la experiencia de inicio de sesión no tenga fricciones.
También recomienda a los clientes que se abstengan de utilizar extensiones o herramientas del navegador que inyecten código o secuencias de comandos en la experiencia de inicio de sesión de Microsoft Entra. Se recomienda a quienes sigan este enfoque que cambien a otras herramientas que no inyecten código.
Para identificar cualquier infracción de CSP, los usuarios pueden seguir un flujo de inicio de sesión con la consola de desarrollo abierta y acceder a la herramienta Consola del navegador dentro de las herramientas de desarrollador para verificar si hay errores que digan «Se negó a cargar el script» por ir en contra de las directivas «script-src» y «nonce».
El SFI de Microsoft es un esfuerzo de varios años que busca poner la seguridad por encima de todo al diseñar nuevos productos y prepararse mejor para la creciente sofisticación de las amenazas cibernéticas.
Se lanzó por primera vez en noviembre de 2023 y se amplió en mayo de 2024 tras un informe de la Junta de Revisión de Seguridad Cibernética de EE. UU. (CSRB), que concluyó que la «cultura de seguridad de la empresa era inadecuada y requiere una revisión».
En su tercer informe de progreso publicado este mes, el gigante tecnológico dijo que ha implementado más de 50 nuevas detecciones en su infraestructura para apuntar a tácticas, técnicas y procedimientos de alta prioridad, y que la adopción de autenticación multifactor (MFA) resistente al phishing para usuarios y dispositivos ha alcanzado el 99,6%.
Otros cambios notables promulgados por Microsoft son los siguientes:
- MFA obligatoria aplicada en todos los servicios, incluidos todos los usuarios de servicios de Azure
- Se introdujeron capacidades de recuperación automática a través de Quick Machine Recovery, clave de acceso ampliada y compatibilidad con Windows Hello, y seguridad de memoria mejorada en firmware y controladores UEFI mediante el uso de Rust.
- Migré el 95 % de las máquinas virtuales de firma de ID de Microsoft Entra a Azure Confidential Compute y moví el 94,3 % de la validación del token de seguridad de Microsoft Entra ID a su kit de desarrollo de software (SDK) de identidad estándar.
- Se suspendió el uso de Servicios de federación de Active Directory (ADFS) en nuestro entorno de productividad.
- Se desmantelaron 560 000 inquilinos adicionales no utilizados y antiguos y 83 000 aplicaciones Microsoft Entra ID no utilizadas en entornos de producción y productividad de Microsoft.
- Búsqueda avanzada de amenazas mediante el seguimiento centralizado del 98 % de la infraestructura de producción.
- Se logró un inventario completo de dispositivos de red y una gestión madura del ciclo de vida de los activos.
- Firma de código casi completamente bloqueada en identidades de producción
- Publicó 1.096 CVE, incluidos 53 CVE en la nube sin acción, y pagó 17 millones de dólares en recompensas.
«Para alinearse con los principios de Confianza Cero, las organizaciones deben automatizar la detección, respuesta y remediación de vulnerabilidades utilizando herramientas de seguridad integradas e inteligencia sobre amenazas», dijo Microsoft. «Mantener la visibilidad en tiempo real de los incidentes de seguridad en entornos híbridos y de nube permite una contención y recuperación más rápidas».