Microsoft ha anunciado planes para mejorar la seguridad de la autenticación Entra ID mediante el bloqueo de ataques de inyección de scripts no autorizados a partir de un año.
La actualización de su Política de seguridad de contenido (CSP) tiene como objetivo mejorar la experiencia de inicio de sesión de Entra ID en login.microsoftonline(.)com ejecutando únicamente scripts de dominios confiables de Microsoft.
“Esta actualización aumenta la seguridad y agrega una capa adicional de protección al permitir que solo se ejecuten scripts de dominios confiables de Microsoft durante la autenticación y bloquear la ejecución de códigos inyectados o no autorizados durante el inicio de sesión”, dijo el fabricante de Windows.
En particular, solo son posibles las descargas de scripts desde dominios CDN de Microsoft confiables y la ejecución de scripts en línea desde una fuente confiable de Microsoft. La política actualizada se limita a experiencias de inicio de sesión basadas en navegador para URL que comienzan con login.microsoftonline.com. La identificación externa de Microsoft Entra no se ve afectada.
El cambio, descrito como una medida proactiva, es parte de la Iniciativa Futuro Seguro (SFI) de Microsoft y tiene como objetivo proteger a los usuarios de ataques de secuencias de comandos entre sitios (XSS) que permiten inyectar código malicioso en sitios web. Se espera que el lanzamiento global se produzca entre mediados y finales de octubre de 2026.
Microsoft insta a las empresas a probar minuciosamente sus flujos de inicio de sesión con anticipación para garantizar que no haya problemas y que el inicio de sesión se realice sin problemas.
Además, se recomienda a los clientes que no utilicen extensiones o herramientas del navegador que inyecten código o scripts en la experiencia de inicio de sesión de Microsoft Entra. Se recomienda a cualquiera que siga este enfoque que cambie a otras herramientas que no inyecten código.
Para identificar cualquier infracción de CSP, los usuarios pueden realizar una operación de inicio de sesión con la consola de desarrollo abierta y acceder a la herramienta de la consola del navegador en las herramientas de desarrollador para comprobar si hay errores que digan: “Error al cargar el script” porque se violaron las directivas script-src y nonce.
SFI de Microsoft es una iniciativa de varios años destinada a poner la seguridad por encima de todo al desarrollar nuevos productos y prepararse mejor para la creciente complejidad de las amenazas cibernéticas.
Se introdujo por primera vez en noviembre de 2023 y se amplió en mayo de 2024 después de que un informe de la Junta de Revisión de Seguridad Cibernética de EE. UU. (CSRB) concluyera que la “cultura de seguridad de la empresa era inadecuada y necesitaba una revisión”.
En su tercer informe de progreso publicado este mes, el gigante tecnológico dijo que ha implementado más de 50 nuevas capacidades de detección en toda su infraestructura para apuntar a tácticas, técnicas y procedimientos de alta prioridad, y que la adopción de autenticación multifactor (MFA) resistente al phishing para usuarios y dispositivos ha alcanzado el 99,6%.
Otros cambios notables de Microsoft son los siguientes:
- MFA obligatoria aplicada para todos los servicios, incluidos todos los usuarios de servicios de Azure
- Presentamos capacidades de recuperación automática a través de Quick Machine Recovery, clave de acceso ampliada y compatibilidad con Windows Hello, y seguridad de almacenamiento mejorada en firmware y controladores UEFI mediante el uso de Rust.
- Migré el 95 % de las máquinas virtuales de firma de ID de Microsoft Entra a Azure Confidential Compute y moví el 94,3 % de la validación del token de seguridad de Microsoft Entra ID al kit de desarrollo de software (SDK) de identidad estándar.
- El uso de Servicios de federación de Active Directory (ADFS) en nuestro entorno de productividad ha sido descontinuado.
- Desmantelamiento de 560 000 inquilinos adicionales no utilizados y obsoletos y 83 000 aplicaciones Microsoft Entra ID no utilizadas en entornos de producción y productividad de Microsoft
- Búsqueda avanzada de amenazas mediante el seguimiento centralizado del 98 % de la infraestructura de producción.
- Se logró un inventario completo de dispositivos de red y una gestión sofisticada del ciclo de vida de los activos.
- Firma de código casi completamente bloqueada para identidades de producción.
- Publicó 1.096 CVE, incluidos 53 CVE en la nube sin acción, y pagó 17 millones de dólares en recompensas.
“Para alinearse con los principios de Confianza Cero, las organizaciones deben automatizar la detección, respuesta y remediación de vulnerabilidades utilizando herramientas de seguridad integradas e inteligencia sobre amenazas”, dijo Microsoft. “Mantener la visibilidad en tiempo real de los incidentes de seguridad en entornos híbridos y de nube permite una contención y recuperación más rápidas”.
About The Author
