Microsoft planira da unaprijedi bezbjednost Entra ID autentikacionog sistema protiv spoljašnjih napada ubrizgavanjem skripti, počevši od sredine do kraja oktobra 2026.
Ovo ažuriranje će uvesti ojačanu Content Security Policy (CSP) politiku koja dozvoljava preuzimanje skripti isključivo sa Microsoftovih provjerenih CDN domena, kao i izvršavanje inline skripti samo iz Microsoftom pouzdanih izvora tokom procesa prijave.
Nakon primjene, zaštitiće korisnike od različitih bezbjednosnih rizika, uključujući cross-site scripting napade u kojima hakeri ubrizgavaju maliciozan kod na veb sajtove radi krađe akreditiva ili kompromitovanja sistema.
Ažurirana politika odnosi se samo na prijave putem pregledača na URL adresama koje počinju sa login.microsoftonline.com, dok Microsoft Entra External ID neće biti pogođen.
“Ovo ažuriranje jača bezbjednost i dodaje dodatni sloj zaštite tako što dozvoljava izvršavanje samo skripti sa pouzdanih Microsoft domena tokom autentikacije, blokirajući neautorizovan ili ubrizgan kod da se pokrene tokom procesa prijave”, izjavila je Megna Kokkalera, menadžer proizvoda za Microsoft Identity and Authentication Experiences.
Microsoft je pozvao organizacije da testiraju sve scenarije prijave prije krajnjeg roka u oktobru 2026, kako bi identifikovale i riješile eventualne zavisnosti od alata koji ubrizgavaju sopstveni kod.
IT administratori mogu prepoznati potencijalni uticaj pregledom procesa prijave kroz konzolu za razvojne alate u pregledaču: kršenja će biti prikazana crvenim tekstom sa detaljima o blokiranim skriptama.
Microsoft je takođe savjetovao preduzećima da prestanu sa korišćenjem ekstenzija i alata za pregledač koji ubrizgavaju kod ili skripte u stranice za prijavu prije nego što promjena stupi na snagu. Oni više neće biti podržani i prestaće da funkcionišu, iako će korisnici i dalje moći da se prijave.
“Ovo ažuriranje naše Content Security Policy dodaje dodatni nivo zaštite blokiranjem neautorizovanih skripti, dodatno pomažući da se vaša organizacija zaštiti od evoluirajućih bezbjednosnih prijetnji”, dodala je Kokkalera.
Ovaj potez je dio Microsoftove Secure Future Initiative (SFI), sveobuhvatnog napora pokrenutog prije dvije godine, u novembru 2023, nakon izvještaja Cyber Safety Review Board-a pri američkom Ministarstvu za unutrašnju bezbjednost, koji je zaključio da je bezbjednosna kultura kompanije “neadekvatna i zahtijeva potpunu reformu”.
Kao dio iste inicijative, Microsoft je već ažurirao Microsoft 365 bezbjednosne podrazumijevane postavke radi blokiranja pristupa SharePoint, OneDrive i Office fajlovima putem zastarjelih autentikacionih protokola, kao i onemogućio sve ActiveX kontrole u Windows verzijama Microsoft 365 i Office 2024 aplikacija.
Ranije ovog mjeseca počelo je i postepeno uvođenje nove Teams funkcije, najavljene u maju, a dizajnirane da blokira pokušaje snimanja ekrana tokom sastanaka.
Izvor: BleepingComputer
