A Microsoft anunciou que reforçará a segurança do sistema de autenticação Entra ID contra ataques de injeção de scripts externos a partir da segunda quinzena de outubro de 2026.
A atualização implementará uma política de Content Security Policy (CSP) mais rigorosa, permitindo o download de scripts apenas de domínios confiáveis da rede de distribuição de conteúdo da Microsoft.
Além disso, a execução de scripts inline será permitida apenas a partir de fontes autorizadas pela empresa durante o processo de login.
Com essa medida, os usuários estarão protegidos contra ameaças como ataques de cross-site scripting (XSS), nos quais invasores inserem códigos maliciosos em sites para roubar credenciais ou comprometer sistemas.
A nova política será aplicada exclusivamente nas experiências de login baseadas em navegador, cujas URLs começam com login.microsoftonline.com.
O Microsoft Entra External ID, por sua vez, não será afetado.
Megna Kokkalera, gerente de produtos da Microsoft Identity and Authentication Experiences, destacou que a atualização “reforça a segurança ao permitir que apenas scripts provenientes de domínios confiáveis da Microsoft sejam executados durante a autenticação, bloqueando códigos não autorizados ou injetados no processo de login”.
A Microsoft recomendou que as organizações realizem testes nos fluxos de autenticação antes do prazo de outubro de 2026 para identificar possíveis dependências de ferramentas que utilizam injeção de código.
Os administradores de TI podem monitorar o impacto da mudança revisando os fluxos de login pelo console do desenvolvedor do navegador.
Violações serão exibidas em texto vermelho, indicando detalhes dos scripts bloqueados.
A empresa também alertou seus clientes corporativos para suspender o uso de extensões de navegador e ferramentas que injetem scripts na página de login antes que a nova medida entre em vigor.
Essas extensões deixarão de ser suportadas e funcionarão parcialmente, embora o acesso continue possível.
“Essa atualização na nossa Content Security Policy adiciona uma camada extra de proteção, bloqueando scripts não autorizados e ajudando a resguardar sua organização contra ameaças de segurança em constante evolução”, reforçou Kokkalera.
Essa iniciativa faz parte do Secure Future Initiative (SFI), programa abrangente da Microsoft lançado em novembro de 2023 após um relatório da Cyber Safety Review Board, órgão do Departamento de Segurança Interna dos EUA, que classificou a cultura de segurança da empresa como “inadequada e necessitando de reformulação”.
No âmbito do SFI, a Microsoft também atualizou as configurações padrão de segurança do Microsoft 365 para bloquear acessos ao SharePoint, OneDrive e arquivos do Office por meio de autenticação legada.
Além disso, desabilitou todos os controles ActiveX nas versões para Windows dos apps Microsoft 365 e Office 2024.
Ainda no início deste mês, a Microsoft iniciou o lançamento de um novo recurso no Teams — anunciado em maio — que bloqueia tentativas de captura de tela durante reuniões, ampliando a proteção da ferramenta.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...