Microsoft sẽ chặn các tập lệnh trái phép trong đăng nhập Entra ID với CSP 2026

[Starlink]

Microsoft đã công bố kế hoạch cải thiện tính bảo mật của xác thực Entra ID bằng cách chặn các cuộc tấn công chèn mã lệnh trái phép bắt đầu từ một năm sau.

Bản cập nhật Chính sách bảo mật nội dung (CSP) nhằm mục đích nâng cao trải nghiệm đăng nhập Entra ID tại "login.microsoftonline[.]com" bằng cách chỉ cho phép chạy các tập lệnh từ các miền Microsoft đáng tin cậy.

Nhà sản xuất Windows cho biết : "Bản cập nhật này tăng cường bảo mật và bổ sung thêm một lớp bảo vệ bằng cách chỉ cho phép các tập lệnh từ các miền Microsoft đáng tin cậy chạy trong quá trình xác thực, chặn mã trái phép hoặc mã bị chèn thực thi trong quá trình đăng nhập".

Cụ thể, chính sách này chỉ cho phép tải xuống tập lệnh từ các miền CDN đáng tin cậy của Microsoft và thực thi tập lệnh nội tuyến từ một nguồn đáng tin cậy của Microsoft. Chính sách cập nhật chỉ giới hạn ở trải nghiệm đăng nhập dựa trên trình duyệt cho các URL bắt đầu bằng   Đăng nhập để xem liên kết. ID ngoài Microsoft Entra sẽ không bị ảnh hưởng.

Thay đổi này, được mô tả là một biện pháp chủ động, là một phần của Sáng kiến Tương lai An toàn ( SFI ) của Microsoft và được thiết kế để bảo vệ người dùng khỏi các cuộc tấn công mã lệnh chéo trang (XSS) cho phép chèn mã độc vào các trang web. Dự kiến, tính năng này sẽ được triển khai trên toàn cầu bắt đầu từ giữa đến cuối tháng 10 năm 2026.

Microsoft đang kêu gọi các tổ chức kiểm tra kỹ lưỡng quy trình đăng nhập của mình trước thời hạn để đảm bảo không có vấn đề gì xảy ra và trải nghiệm đăng nhập không gặp trở ngại.

Microsoft cũng khuyến cáo khách hàng không nên sử dụng các tiện ích mở rộng hoặc công cụ trình duyệt chèn mã hoặc tập lệnh vào trải nghiệm đăng nhập Microsoft Entra. Những người đang áp dụng phương pháp này được khuyến nghị chuyển sang các công cụ khác không chèn mã.

Để xác định bất kỳ vi phạm CSP nào, người dùng có thể thực hiện quy trình đăng nhập với bảng điều khiển dành cho nhà phát triển đang mở và truy cập công cụ Bảng điều khiển của trình duyệt trong công cụ dành cho nhà phát triển để kiểm tra lỗi có nội dung "Từ chối tải tập lệnh" vì vi phạm chỉ thị " script-src " và " nonce ".

SFI của Microsoft là nỗ lực kéo dài nhiều năm nhằm đặt vấn đề bảo mật lên hàng đầu khi thiết kế sản phẩm mới và chuẩn bị tốt hơn cho sự gia tăng tinh vi của các mối đe dọa mạng.

Lần đầu tiên ra mắt vào tháng 11 năm 2023 và được mở rộng vào tháng 5 năm 2024 sau báo cáo từ Ban đánh giá an toàn mạng Hoa Kỳ (CSRB), kết luận rằng "văn hóa bảo mật của công ty không đầy đủ và cần phải thay đổi".

Trong báo cáo tiến độ thứ ba được công bố trong tháng này, gã khổng lồ công nghệ cho biết họ đã triển khai hơn 50 phát hiện mới trong cơ sở hạ tầng của mình để nhắm mục tiêu vào các chiến thuật, kỹ thuật và quy trình ưu tiên cao, và việc áp dụng xác thực đa yếu tố (MFA) chống lừa đảo cho người dùng và thiết bị đã đạt 99,6%.

Những thay đổi đáng chú ý khác được Microsoft ban hành như sau:

    Áp dụng MFA bắt buộc trên tất cả các dịch vụ, bao gồm tất cả người dùng dịch vụ Azure
    Giới thiệu khả năng phục hồi tự động thông qua Quick Machine Recovery, mở rộng hỗ trợ mật khẩu và Windows Hello, đồng thời cải thiện tính bảo mật bộ nhớ trong chương trình cơ sở và trình điều khiển UEFI bằng cách sử dụng Rust
    Đã di chuyển 95% máy ảo ký ID Microsoft Entra sang Azure Confidential Compute và di chuyển 94,3% xác thực mã thông báo bảo mật ID Microsoft Entra sang Bộ phát triển phần mềm (SDK) danh tính tiêu chuẩn của nó
    Đã ngừng sử dụng Dịch vụ Liên kết Active Directory (ADFS) trong môi trường năng suất của chúng tôi
    Đã ngừng hoạt động 560.000 người thuê nhà không sử dụng và cũ và 83.000 ứng dụng Microsoft Entra ID chưa sử dụng trên các môi trường sản xuất và năng suất của Microsoft
    Săn tìm mối đe dọa nâng cao bằng cách theo dõi tập trung 98% cơ sở hạ tầng sản xuất
    Đạt được danh mục thiết bị mạng hoàn chỉnh và quản lý vòng đời tài sản trưởng thành
    Việc ký mã gần như hoàn toàn bị khóa đối với danh tính sản xuất
    Đã công bố 1.096 CVE, bao gồm 53 CVE đám mây không có hành động nào và đã trả 17 triệu đô la tiền thưởng

Microsoft cho biết: "Để tuân thủ các nguyên tắc Zero Trust, các tổ chức nên tự động hóa việc phát hiện, ứng phó và khắc phục lỗ hổng bảo mật bằng các công cụ bảo mật tích hợp và thông tin tình báo về mối đe dọa. Việc duy trì khả năng hiển thị theo thời gian thực về các sự cố bảo mật trên môi trường đám mây và môi trường lai cho phép ngăn chặn và phục hồi nhanh hơn."