Microsoft đã công bố kế hoạch cải thiện bảo mật xác thực Entra ID bằng cách chặn các cuộc tấn công chèn script trái phép, bắt đầu từ một năm tới.
Bản cập nhật Content Security Policy (CSP) của hãng nhằm mục đích nâng cao trải nghiệm đăng nhập Entra ID tại "login.microsoftonline[.]com" bằng cách chỉ cho phép các script từ các tên miền Microsoft đáng tin cậy chạy.
"Bản cập nhật này tăng cường bảo mật và bổ sung thêm một lớp bảo vệ bằng cách chỉ cho phép các script từ các tên miền Microsoft đáng tin cậy chạy trong quá trình xác thực, chặn mã trái phép hoặc mã bị chèn thực thi trong quá trình đăng nhập," nhà sản xuất Windows cho biết.
Cụ thể, bản cập nhật này chỉ cho phép tải xuống script từ các tên miền CDN đáng tin cậy của Microsoft và thực thi script nội tuyến từ một nguồn đáng tin cậy của Microsoft. Chính sách được cập nhật chỉ giới hạn ở trải nghiệm đăng nhập dựa trên trình duyệt cho các URL bắt đầu bằng login.microsoftonline.com. Microsoft Entra External ID sẽ không bị ảnh hưởng.
Thay đổi này, được mô tả là một biện pháp chủ động, là một phần của Sáng kiến Tương lai An toàn (Secure Future Initiative - SFI) của Microsoft và được thiết kế để bảo vệ người dùng chống lại các cuộc tấn công cross-site scripting (XSS) làm cho việc chèn mã độc hại vào các trang web trở nên khả thi. Nó dự kiến sẽ được triển khai toàn cầu bắt đầu vào giữa đến cuối tháng 10 năm 2026.
Microsoft đang kêu gọi các tổ chức kiểm tra kỹ lưỡng quy trình đăng nhập của họ trước thời hạn để đảm bảo không có vấn đề và trải nghiệm đăng nhập không gặp trở ngại.
Hãng cũng khuyên khách hàng không nên sử dụng các tiện ích mở rộng trình duyệt hoặc công cụ chèn mã hoặc script vào trải nghiệm đăng nhập Microsoft Entra. Những người đang áp dụng cách tiếp cận này được khuyến nghị chuyển sang các công cụ khác không chèn mã.
Để xác định bất kỳ vi phạm CSP nào, người dùng có thể thực hiện quy trình đăng nhập với bảng điều khiển dành cho nhà phát triển (dev console) đang mở và truy cập công cụ Console của trình duyệt trong các công cụ dành cho nhà phát triển để kiểm tra lỗi hiển thị "Refused to load the script" do vi phạm các chỉ thị "script-src" và "nonce".
Sáng kiến Tương lai An toàn (SFI) của Microsoft
SFI của Microsoft là một nỗ lực kéo dài nhiều năm nhằm đặt vấn đề bảo mật lên hàng đầu khi thiết kế các sản phẩm mới và chuẩn bị tốt hơn cho sự tinh vi ngày càng tăng của các mối đe dọa mạng.
Nó được ra mắt lần đầu tiên vào tháng 11 năm 2023 và được mở rộng vào tháng 5 năm 2024 sau một báo cáo từ U.S. Cyber Safety Review Board (CSRB), kết luận rằng "văn hóa bảo mật của công ty là không đầy đủ và đòi hỏi phải cải tổ."
Trong báo cáo tiến độ thứ ba được công bố trong tháng này, gã khổng lồ công nghệ cho biết họ đã triển khai hơn 50 biện pháp phát hiện mới trong cơ sở hạ tầng của mình để nhắm mục tiêu vào các chiến thuật, kỹ thuật và quy trình ưu tiên cao, và việc áp dụng xác thực đa yếu tố (MFA) chống phishing cho người dùng và thiết bị đã đạt 99,6%.
Các thay đổi đáng chú ý khác
Các thay đổi đáng chú ý khác do Microsoft thực hiện như sau:
- Thực thi Mandatory MFA trên tất cả các dịch vụ, bao gồm cho tất cả người dùng dịch vụ Azure.
- Giới thiệu các khả năng khôi phục tự động thông qua Quick Machine Recovery, mở rộng hỗ trợ passkey và Windows Hello, và cải thiện an toàn bộ nhớ trong firmware và driver UEFI bằng cách sử dụng Rust.
- Di chuyển 95% các VM ký Entra ID của Microsoft sang Azure Confidential Compute và chuyển 94,3% xác thực token bảo mật Entra ID của Microsoft sang bộ công cụ phát triển phần mềm nhận dạng tiêu chuẩn (SDK) của hãng.
- Ngừng sử dụng Active Directory Federation Services (ADFS) trong môi trường năng suất của chúng tôi.
- Vô hiệu hóa 560.000 tenant không sử dụng và cũ bổ sung cùng 83.000 ứng dụng Entra ID của Microsoft không sử dụng trên các môi trường sản xuất và năng suất của Microsoft.
- Tăng cường săn lùng mối đe dọa bằng cách theo dõi tập trung 98% cơ sở hạ tầng sản xuất.
- Đạt được kiểm kê thiết bị mạng hoàn chỉnh và quản lý vòng đời tài sản trưởng thành.
- Hầu như hoàn toàn khóa ký mã cho các danh tính sản xuất.
- Đã công bố 1.096 CVE, bao gồm 53 CVE đám mây không cần hành động, và chi trả 17 triệu đô la tiền thưởng.
Microsoft cho biết: "Để phù hợp với các nguyên tắc Zero Trust, các tổ chức nên tự động hóa việc phát hiện, phản hồi và khắc phục lỗ hổng bằng cách sử dụng các công cụ bảo mật tích hợp và thông tin tình báo về mối đe dọa. Duy trì khả năng hiển thị theo thời gian thực về các sự cố bảo mật trên các môi trường kết hợp và đám mây cho phép ngăn chặn và khôi phục nhanh hơn."
