Microsoft reforça segurança e vai bloquear scripts não autorizados em logins do Entra ID a partir de 2026

A Microsoft anunciou uma mudança significativa na política de segurança do Entra ID, sua plataforma de identidade e autenticação, com o objetivo de bloquear a execução de scripts não autorizados durante o processo de login. A partir de outubro de 2026, o serviço começará a bloquear injeções de código no portal login.microsoftonline.com, impedindo a execução de scripts que não sejam provenientes de domínios oficiais da empresa.

A atualização faz parte da Content Security Policy (CSP), que agora passa a permitir apenas o download de scripts hospedados em CDNs confiáveis da Microsoft e a execução de scripts inline autenticados por fontes oficiais.

Segundo a gigante de Redmond, a mudança traz uma camada adicional de segurança e protege usuários contra tentativas de injeção de código durante a autenticação uma prática frequentemente explorada em ataques de cross-site scripting (XSS), nos quais hackers tentam inserir scripts maliciosos em sites legítimos para roubar informações ou manipular sessões. A atualização valerá exclusivamente para fluxos de login em navegadores dentro do domínio login.microsoftonline.com, sem impacto para o Microsoft Entra External ID.

A iniciativa faz parte da Secure Future Initiative (SFI), programa multianual da empresa que busca elevar o padrão de segurança de produtos e processos após o aumento da sofisticação de ataques globais. Desde seu lançamento em novembro de 2023 reforçado após o relatório crítico do U.S. Cyber Safety Review Board (CSRB) em 2024 a Microsoft afirma ter feito avanços significativos.

Entre eles, a criação de mais de 50 novas detecções de ameaças, adoção de MFA resistente a phishing para 99,6% dos usuários, migração massiva de ambientes de autenticação para Azure Confidential Compute e a desativação de centenas de milhares de tenants e aplicativos antigos do Entra ID.

Outras atualizações mencionadas pela empresa incluem a obrigatoriedade universal de MFA, o reforço de segurança em firmware com uso de Rust, eliminação do Active Directory Federation Services (ADFS), avanços na caça a ameaças com monitoramento centralizado de 98% da infraestrutura produtiva e uma maturidade maior no ciclo de vida de ativos e dispositivos.

A Microsoft também destacou a publicação de mais de 1.090 CVEs e o pagamento de US$ 17 milhões em programas de bug bounty, reforçando o compromisso com pesquisas e práticas de segurança.

A empresa recomenda que organizações revisem seus fluxos de login antes da mudança, testem eventuais violações de CSP pelo console do navegador e evitem o uso de extensões que injetem código durante a autenticação. A Microsoft reforça que, para seguir o modelo Zero Trust, empresas devem automatizar detecção, resposta e correção de vulnerabilidades, além de manter visibilidade contínua de incidentes em ambientes híbridos e cloud.

Via - THN