Microsoft ha anunciado una actualización crucial en su política de seguridad que se implementará en octubre de 2026. La empresa bloqueará la ejecución de scripts no autorizados durante los procesos de autenticación en Entra ID, como parte de su plan para eliminar vectores de ataque basados en inyección de código.

En el marco de su Iniciativa de Futuro Seguro (SFI), Microsoft ha comunicado que reforzará su Política de Seguridad de Contenido (CSP) para las experiencias de inicio de sesión web. El objetivo primordial es salvaguardar el dominio login.microsoftonline.com, asegurando que solo se puedan ejecutar scripts de dominios de confianza de Microsoft o de fuentes en línea verificadas por la compañía.

Esta medida, que se implementará de forma global a mediados o finales de octubre de 2026, tiene como finalidad prevenir ataques de Cross-Site Scripting (XSS). Estos ataques utilizan vulnerabilidades para insertar código malicioso en sitios legítimos, poniendo en riesgo las credenciales de los usuarios o secuestrando sesiones activas.

Es relevante mencionar que esta restricción se aplicará exclusivamente a los inicios de sesión realizados a través de navegadores web en el dominio principal de autenticación de Microsoft. Según la documentación técnica, los servicios de Microsoft Entra External ID no se verán afectados por este cambio en la política.

La actualización funcionará bajo un modelo de «lista blanca» estricta:

  • Solo se permitirá la descarga de scripts desde redes de entrega de contenido (CDN) oficiales de Microsoft.
  • La ejecución de scripts en línea (inline) requerirá validación de origen.

Este anuncio forma parte del tercer informe de progreso de la SFI, publicado en noviembre de 2025. Después de un informe crítico de la Junta de Revisión de Seguridad Cibernética (CSRB) de EE.UU. en 2024, Microsoft ha acelerado sus esfuerzos para priorizar la seguridad en el diseño de sus productos.

Entre los recientes logros destacados por la compañía se incluyen:

  • Una adopción del 99,6% de autenticación multifactor (MFA) resistente al phishing entre sus dispositivos y usuarios.
  • La migración masiva de la infraestructura de firma de identidad a computación confidencial en Azure.
  • La eliminación de servicios obsoletos como Active Directory Federation Services (ADFS) en sus entornos de productividad para reducir la superficie de ataque.
  • La desactivación de más de medio millón de inquilinos (tenants) y aplicaciones antiguas sin uso.

Recomendaciones para organizaciones y usuarios.

Para evitar interrupciones cuando la política entre en vigor en 2026, Microsoft aconseja tomar medidas proactivas desde ahora:

  • Auditoría de herramientas: Las organizaciones deben identificar y eliminar extensiones de navegador o herramientas de terceros que modifiquen o inyecten código en la página de inicio de sesión de Entra ID.
  • Pruebas de compatibilidad: Los desarrolladores y administradores deben verificar si sus flujos actuales infringen la futura política utilizando la consola del desarrollador del navegador. Si ven errores que indican que «se negó la carga del script» debido a directivas script-src o nonce, es una señal de que la herramienta dejará de funcionar tras la actualización.
  • Adopción de alternativas: Se recomienda migrar a soluciones que mantengan la integridad del flujo de autenticación nativo de Microsoft.

Fuente:
Hispasec


Con Información de blog.segu-info.com.ar