Η Microsoft σχεδιάζει να ενισχύσει την ασφάλεια του συστήματος ελέγχου ταυτότητας Entra ID έναντι εξωτερικών επιθέσεων έγχυσης σεναρίων από τα μέσα έως τα τέλη Οκτωβρίου 2026.
Αυτή η ενημέρωση θα εφαρμόσει μια ενισχυμένη Πολιτική Ασφάλειας Περιεχομένου που επιτρέπει λήψεις σεναρίων μόνο από αξιόπιστους τομείς δικτύου παράδοσης περιεχομένου από τη Microsoft και εκτέλεση ενσωματωμένης δέσμης ενεργειών μόνο από αξιόπιστες πηγές της Microsoft κατά τη σύνδεση.
Μετά την κυκλοφορία, θα προστατεύει τους χρήστες από διάφορους κινδύνους ασφαλείας, συμπεριλαμβανομένων των επιθέσεων δέσμης ενεργειών μεταξύ τοποθεσιών, στις οποίες οι εισβολείς εισάγουν κακόβουλο κώδικα σε ιστότοπους για να κλέψουν διαπιστευτήρια ή να παραβιάσουν συστήματα.
Η πολιτική ενημέρωσης θα ισχύει μόνο για εμπειρίες σύνδεσης βάσει προγράμματος περιήγησης σε διευθύνσεις URL που ξεκινούν με το login.microsoftonline.com και το Microsoft Entra External ID δεν θα επηρεαστεί.
“Αυτή η ενημέρωση ενισχύει την ασφάλεια και προσθέτει ένα επιπλέον επίπεδο προστασίας, επιτρέποντας την εκτέλεση μόνο σεναρίων από αξιόπιστους τομείς της Microsoft κατά τον έλεγχο ταυτότητας, αποκλείοντας την εκτέλεση μη εξουσιοδοτημένου ή εγγεγραμμένου κώδικα κατά την εμπειρία σύνδεσης.” είπε Megna Kokkalera, product manager για Microsoft Identity and Authentication Experiences.
Η Microsoft προέτρεψε τους οργανισμούς να δοκιμάσουν τα σενάρια εισόδου πριν από την προθεσμία του Οκτωβρίου 2026 για να εντοπίσουν και να αντιμετωπίσουν τυχόν εξαρτήσεις από εργαλεία εισαγωγής κώδικα.
Οι διαχειριστές IT μπορούν να εντοπίσουν πιθανές επιπτώσεις εξετάζοντας τις ροές σύνδεσης στην κονσόλα προγραμματιστή του προγράμματος περιήγησης: οι παραβιάσεις θα εμφανίζονται με κόκκινο κείμενο με λεπτομέρειες σχετικά με τα αποκλεισμένα σενάρια.
Η Microsoft συνέστησε επίσης στους εταιρικούς πελάτες να σταματήσουν να χρησιμοποιούν επεκτάσεις και εργαλεία προγράμματος περιήγησης που εισάγουν κώδικα ή σενάρια σε σελίδες σύνδεσης προτού τεθεί σε ισχύ η αλλαγή. Αυτά δεν θα υποστηρίζονται πλέον και θα σταματήσουν να λειτουργούν, αν και οι χρήστες θα εξακολουθούν να μπορούν να συνδεθούν.
“Αυτή η ενημέρωση στην Πολιτική Ασφάλειας Περιεχομένου μας προσθέτει ένα επιπλέον επίπεδο προστασίας αποκλείοντας μη εξουσιοδοτημένα σενάρια, συμβάλλοντας περαιτέρω στην προστασία του οργανισμού σας από εξελισσόμενες απειλές ασφαλείας”, πρόσθεσε ο Kokkalera.
Αυτή η κίνηση αποτελεί μέρος της πρωτοβουλίας Secure Future Initiative (SFI) της Microsoft, μια προσπάθεια σε ολόκληρη την εταιρεία που ξεκίνησε πριν από δύο χρόνια, τον Νοέμβριο του 2023, μετά από μια αναφορά από την Επιτροπή Αναθεώρησης Κυβερνοασφάλειας του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ, η οποία θεμελιώ ότι η κουλτούρα ασφαλείας της εταιρείας ήταν «ανεπαρκής και απαιτεί αναθεώρηση».
Στο πλαίσιο της ίδιας πρωτοβουλίας, η Microsoft ενημέρωσε επίσης τις προεπιλογές ασφαλείας του Microsoft 365 για να αποκλείσει την πρόσβαση σε αρχεία SharePoint, OneDrive και Office μέσω πρωτοκόλλων ελέγχου ταυτότητας παλαιού τύπου, απενεργοποιώντας όλα τα στοιχεία ελέγχου ActiveX στις εκδόσεις Windows των εφαρμογών Microsoft 365 και Office 2024.
Νωρίτερα αυτό το μήνα, άρχισε επίσης να κυκλοφορεί μια νέα λειτουργία Teams που ανακοινώθηκε τον Μάιο και έχει σχεδιαστεί για να εμποδίζει τις προσπάθειες λήψης οθόνης κατά τη διάρκεια συσκέψεων.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
