Корпорация Microsoft официально объявила о предстоящем обновлении политики защиты контента (Content Security Policy, CSP) для своего сервиса аутентификации Microsoft Entra ID. Это изменение направлено на блокировку неавторизованных скриптов и предотвращение инъекций вредоносного кода. Глобальное внедрение новых мер безопасности запланировано на период с середины до конца октября 2026 года. Основная цель данной инициативы заключается в существенном повышении уровня защиты пользователей от атак в процессе входа в систему.
Технически ограничения затронут браузерные процессы входа в систему по адресу «login.microsoftonline[.]com». Обновленная политика CSP будет разрешать загрузку скриптов исключительно с доверенных доменов CDN Microsoft, а выполнение встроенных скриптов станет возможным только из надежных источников корпорации. Этот механизм разработан для нейтрализации атак межсайтового скриптинга (XSS), при которых злоумышленники пытаются внедрить вредоносный код на веб-страницы. Важно отметить, что данные изменения не коснутся сервиса Microsoft Entra External ID.
Организациям рекомендуется тщательно протестировать свои потоки аутентификации до наступления установленного срока. Microsoft советует отказаться от использования браузерных расширений и инструментов, внедряющих код в интерфейс входа Entra. Для выявления нарушений CSP администраторам следует использовать консоль инструментов разработчика в браузере во время входа. На наличие проблем укажет ошибка «Refused to load the script» (Отказано в загрузке скрипта), а также нарушения директив «script-src» и «nonce».
Данное ужесточение правил является частью масштабной инициативы «Secure Future Initiative» (SFI) — многолетней программы, призванной сделать безопасность приоритетом при разработке продуктов и подготовить инфраструктуру к сложным киберугрозам. В Microsoft описывают эти действия как «превентивную меру». Инициатива стала ответом на критику со стороны Совета по обзору кибербезопасности США (CSRB), который ранее пришел к выводу, что «культура безопасности Microsoft была неадекватной и требует пересмотра».
В рамках третьего отчета о прогрессе SFI корпорация раскрыла детальную статистику улучшений своей инфраструктуры безопасности. Уровень внедрения устойчивой к фишингу многофакторной аутентификации (MFA) для пользователей и устройств достиг показателя 99,6%. Компания внедрила более 50 новых механизмов обнаружения угроз, нацеленных на высокоприоритетные тактики злоумышленников. Кроме того, обеспечено централизованное отслеживание 98% производственной инфраструктуры для расширенного поиска угроз, а также достигнута полная инвентаризация сетевых устройств.
Масштабная чистка устаревших ресурсов привела к выводу из эксплуатации 560 000 неиспользуемых и устаревших тенантов, а также 83 000 неактивных приложений Microsoft Entra ID. В продуктивной среде было полностью прекращено использование протокола Active Directory Federation Services (ADFS). Подписывание кода теперь практически полностью привязано к производственным идентификаторам, что минимизирует риски подмены программного обеспечения.
Работа с уязвимостями также демонстрирует значительные объемы: всего было опубликовано 1 096 записей CVE, включая 53 облачные уязвимости, не требующие действий со стороны пользователей. Сумма выплат в рамках программ вознаграждения за обнаружение ошибок (Bug Bounty) составила 17 миллионов долларов. В техническом плане продолжается интеграция со стандартным комплектом разработки (SDK): на данный момент 3% проверок токенов безопасности Microsoft Entra ID переведено на этот стандарт.
В основе новой стратегии лежат принципы «нулевого доверия» (Zero Trust). Как заявляют в Microsoft: «Чтобы соответствовать принципам нулевого доверия, организации должны автоматизировать обнаружение уязвимостей, реагирование и исправление, используя интегрированные инструменты безопасности и данные об угрозах». Главным приоритетом остается поддержание видимости инцидентов безопасности в реальном времени в гибридных и облачных средах для максимально быстрого сдерживания атак и восстановления систем.
Изображение носит иллюстративный характер
Технически ограничения затронут браузерные процессы входа в систему по адресу «login.microsoftonline[.]com». Обновленная политика CSP будет разрешать загрузку скриптов исключительно с доверенных доменов CDN Microsoft, а выполнение встроенных скриптов станет возможным только из надежных источников корпорации. Этот механизм разработан для нейтрализации атак межсайтового скриптинга (XSS), при которых злоумышленники пытаются внедрить вредоносный код на веб-страницы. Важно отметить, что данные изменения не коснутся сервиса Microsoft Entra External ID.
Организациям рекомендуется тщательно протестировать свои потоки аутентификации до наступления установленного срока. Microsoft советует отказаться от использования браузерных расширений и инструментов, внедряющих код в интерфейс входа Entra. Для выявления нарушений CSP администраторам следует использовать консоль инструментов разработчика в браузере во время входа. На наличие проблем укажет ошибка «Refused to load the script» (Отказано в загрузке скрипта), а также нарушения директив «script-src» и «nonce».
Данное ужесточение правил является частью масштабной инициативы «Secure Future Initiative» (SFI) — многолетней программы, призванной сделать безопасность приоритетом при разработке продуктов и подготовить инфраструктуру к сложным киберугрозам. В Microsoft описывают эти действия как «превентивную меру». Инициатива стала ответом на критику со стороны Совета по обзору кибербезопасности США (CSRB), который ранее пришел к выводу, что «культура безопасности Microsoft была неадекватной и требует пересмотра».
В рамках третьего отчета о прогрессе SFI корпорация раскрыла детальную статистику улучшений своей инфраструктуры безопасности. Уровень внедрения устойчивой к фишингу многофакторной аутентификации (MFA) для пользователей и устройств достиг показателя 99,6%. Компания внедрила более 50 новых механизмов обнаружения угроз, нацеленных на высокоприоритетные тактики злоумышленников. Кроме того, обеспечено централизованное отслеживание 98% производственной инфраструктуры для расширенного поиска угроз, а также достигнута полная инвентаризация сетевых устройств.
Масштабная чистка устаревших ресурсов привела к выводу из эксплуатации 560 000 неиспользуемых и устаревших тенантов, а также 83 000 неактивных приложений Microsoft Entra ID. В продуктивной среде было полностью прекращено использование протокола Active Directory Federation Services (ADFS). Подписывание кода теперь практически полностью привязано к производственным идентификаторам, что минимизирует риски подмены программного обеспечения.
Работа с уязвимостями также демонстрирует значительные объемы: всего было опубликовано 1 096 записей CVE, включая 53 облачные уязвимости, не требующие действий со стороны пользователей. Сумма выплат в рамках программ вознаграждения за обнаружение ошибок (Bug Bounty) составила 17 миллионов долларов. В техническом плане продолжается интеграция со стандартным комплектом разработки (SDK): на данный момент 3% проверок токенов безопасности Microsoft Entra ID переведено на этот стандарт.
В основе новой стратегии лежат принципы «нулевого доверия» (Zero Trust). Как заявляют в Microsoft: «Чтобы соответствовать принципам нулевого доверия, организации должны автоматизировать обнаружение уязвимостей, реагирование и исправление, используя интегрированные инструменты безопасности и данные об угрозах». Главным приоритетом остается поддержание видимости инцидентов безопасности в реальном времени в гибридных и облачных средах для максимально быстрого сдерживания атак и восстановления систем.
