A Microsoft anunciou planos para implementar medidas de segurança mais rigorosas no seu sistema de autenticação Entra ID, visando proteger as organizações contra ataques de injeção de scripts. A alteração, que entrará em vigor entre meados e o final de outubro de 2026, impedirá a execução de scripts não autorizados durante o processo de início de sessão.
Esta atualização introduzirá uma Política de Segurança de Conteúdo (CSP - Content Security Policy) reforçada. Na prática, isto significa que o sistema passará a permitir apenas o descarregamento de scripts a partir de domínios de rede de distribuição de conteúdos (CDN) confiáveis da Microsoft, bloqueando qualquer código proveniente de fontes externas.
Combate aos ataques XSS
O principal objetivo desta medida é proteger os utilizadores contra vetores de ataque comuns, como o Cross-Site Scripting (XSS). Neste tipo de ataques, agentes maliciosos tentam injetar código em sites legítimos para roubar credenciais ou comprometer sistemas.
A nova política aplicar-se-á exclusivamente às experiências de início de sessão baseadas no navegador, especificamente nos URLs que começam por login.microsoftonline.com. O serviço Microsoft Entra External ID não será afetado por esta mudança.
"Esta atualização reforça a segurança e adiciona uma camada extra de proteção ao permitir apenas que scripts de domínios confiáveis da Microsoft sejam executados durante a autenticação, bloqueando a execução de código não autorizado ou injetado durante a experiência de login", explicou Megna Kokkalera, gestora de produto na Microsoft, conforme detalhado no blog oficial do Microsoft Entra.
Impacto nas empresas e ferramentas
A Microsoft aconselha vivamente as organizações a testarem os seus cenários de início de sessão antes do prazo de outubro de 2026. O objetivo é identificar e resolver quaisquer dependências de ferramentas que utilizem injeção de código.
Os administradores de TI podem verificar o impacto destas alterações analisando os fluxos de login através da consola de programador do navegador. Quaisquer violações à nova política aparecerão a vermelho, fornecendo detalhes sobre os scripts que foram bloqueados.
A empresa alertou ainda os clientes empresariais para deixarem de utilizar extensões de navegador ou outras ferramentas que injetem código ou scripts nas páginas de login antes da entrada em vigor da medida. Embora os utilizadores continuem a conseguir iniciar sessão, estas ferramentas deixarão de ser suportadas e deixarão de funcionar corretamente.
Parte da Iniciativa "Secure Future"
Esta alteração integra-se na "Secure Future Initiative" (SFI) da Microsoft, um esforço transversal lançado em novembro de 2023 para reformular a cultura de segurança da empresa após críticas de reguladores norte-americanos.
Como parte desta mesma iniciativa, a empresa já implementou outras medidas de segurança, como o bloqueio de acesso a ficheiros no SharePoint e OneDrive através de protocolos de autenticação legados, e a desativação de controlos ActiveX nas versões Windows das aplicações Microsoft 365. Mais recentemente, a empresa começou também a disponibilizar uma funcionalidade no Microsoft Teams desenhada para bloquear tentativas de captura de ecrã durante reuniões.
Nenhum comentário
Seja o primeiro!