Microsoft обяви ключова промяна в сигурността на автентикационния процес в Entra ID, която цели да елиминира риска от инжектиране на неоторизирани скриптове в страниците за вход. Обновената Content Security Policy (CSP) ще бъде активирана глобално от средата или края на октомври 2026 г., като компанията предупреждава организациите да започнат подготовка още отсега.

Какво се променя в Content Security Policy

Новата CSP политика се прилага към уеб-базираните процеси на влизане в домейна login.microsoftonline.com. Тя:

• разрешава изпълнение само на скриптове от доверени Microsoft домейни,

• ограничава изтеглянето на скриптове единствено до Microsoft trusted CDN,

• позволява само вътрешни (inline) скриптове, подписани и генерирани от Microsoft,

• блокира всеки външен или инжектиран код, който се опитва да се изпълни по време на удостоверяване.

Важно: Microsoft Entra External ID няма да бъде засегнат от промените.

Според компанията обновената политика осигурява значително повишена защита срещу cross-site scripting (XSS) атаки, които позволяват добавяне на злонамерен код в легитимни уеб страници.

Препоръки към организациите

Microsoft препоръчва на клиентите да започнат ранно тестване на своите процеси на вход, като:

• премахнат разширения и инструменти, които инжектират скриптове в страниците за вход,

• преминат към решения, които не модифицират DOM съдържанието,

• използват DevTools конзолата, за да откриват съобщения от типа „Refused to load the script“, които показват блокирани ресурси поради нарушение на script-src или nonce директиви.

Компанията подчертава, че ранната подготовка ще намали риска от прекъсвания и проблеми с потребителското изживяване при пълното внедряване през 2026 г.

Контекст: Secure Future Initiative и трансформация на сигурността

Тази промяна е част от по-мащабната Secure Future Initiative (SFI) – дългосрочната програма на Microsoft, която цели фундаментално да подобри сигурността на всички облачни и корпоративни платформи на компанията.

Инициативата стартира през 2023 г., а през 2024 г. беше разширена след доклад на U.S. Cyber Safety Review Board (CSRB), в който се посочва, че „културата за сигурност на Microsoft е неадекватна и се нуждае от цялостно обновяване“.

В най-новия си доклад Microsoft отчита значителен напредък:

• Въведено задължително MFA за всички Azure услуги.

• 99,6% усвояване на фишинг-резистентно MFA за потребители и устройства.

• 50+ нови детекции срещу критични тактики и техники в инфраструктурата.

• Quick Machine Recovery, разширена поддръжка на passkey и Windows Hello.

• Подобрена memory safety в UEFI чрез Rust.

• 95% от Entra ID signing VM-ите мигрирани към Azure Confidential Compute.

• 560 000 деактивирани остарели tenants и 83 000 премахнати Entra ID приложения.

• Почти пълно заключване на процеса по code signing към продукционни идентичности.

• 1 096 публикувани CVE, включително 53 без необходимост от действие.

• 17 млн. долара изплатени като bug bounty награди.

Стратегия, управлявана от Zero Trust

Microsoft заявява, че организациите трябва да възприемат Zero Trust подход, като:

• автоматизират откриването, реакцията и отстраняването на уязвимости,

• използват интегрирани инструменти и разузнаване за заплахи,

• поддържат видимост в реално време върху хибридните и облачни среди,

• минимизират ръчните действия при управление на инциденти.

Новата CSP политика за Entra ID е част от този по-широк модел на сигурност, който поставя бариера пред едни от най-честите и опасни атаки срещу потребителското удостоверяване.