Underc0de - La Casa de los Informáticos

Microsoft ha anunciado una importante actualización en la seguridad de su plataforma de identidad Entra ID, enfocada en bloquear ataques no autorizados de inyección de scripts durante el proceso de inicio de sesión. Esta medida, que entrará en vigor globalmente a partir de mediados o finales de octubre de 2026, forma parte de la Secure Future Initiative (SFI) y tiene como objetivo mitigar uno de los vectores de amenaza más frecuentes en entornos de autenticación: los ataques de Cross-Site Scripting (XSS).

¿En qué consiste el cambio de seguridad en Microsoft Entra ID?

El núcleo de esta actualización se encuentra en el endurecimiento de la Política de Seguridad de Contenidos (Content Security Policy o CSP) aplicada al portal de autenticación ubicado en:

login.microsoftonline.com

Con la nueva configuración, Microsoft permitirá únicamente la ejecución de scripts provenientes de dominios Microsoft confiables, bloqueando cualquier intento de carga o ejecución de código procedente de fuentes externas o no autorizadas.

Esto significa que:

• Solo se podrán descargar scripts desde CDN oficiales y confiables de Microsoft.
• Solo podrán ejecutarse scripts en línea que provengan de fuentes verificadas por Microsoft.
• Cualquier script inyectado por terceros será bloqueado automáticamente por la política CSP.

Microsoft explicó que esta actualización añadirá una capa adicional de protección durante el proceso de autenticación, evitando que actores maliciosos logren ejecutar código arbitrario en el navegador del usuario, una técnica común en ataques de phishing avanzado, session hijacking y robo de credenciales.

¿Qué experiencias de inicio de sesión se verán afectadas?

Es importante destacar que este cambio impacta únicamente:

• Las experiencias de inicio de sesión basadas en navegador.
• Las URLs que comienzan con: login.microsoftonline.com.

Por el contrario, Microsoft Entra External ID no se verá afectado por esta medida, lo que ofrece tranquilidad a las empresas que utilizan ese entorno específico para autenticación externa.

Relación con la Iniciativa Futuro Seguro (SFI)

Esta medida forma parte de la Secure Future Initiative (SFI), un programa de seguridad de varios años lanzado por Microsoft en noviembre de 2023 y ampliado en mayo de 2024, tras un informe crítico de la Cyber Safety Review Board (CSRB) de Estados Unidos, que determinó que la cultura de seguridad de Microsoft requería una revisión profunda.

Desde entonces, Microsoft ha acelerado sus esfuerzos para:

• Rediseñar arquitecturas desde un enfoque Security by Design.
• Fortalecer la protección frente a amenazas avanzadas.
• Reducir la superficie de ataque en entornos críticos.

Principales avances en seguridad dentro del programa SFI

En su tercer informe de progreso, Microsoft reveló una serie de medidas técnicas y operativas que refuerzan su postura de seguridad en la nube e identidad digital:

Autenticación multifactor (MFA) resistente al phishing

La adopción ha alcanzado un nivel del 99,6% en usuarios y dispositivos, lo que reduce drásticamente el riesgo de compromisos de cuentas por ataques de ingeniería social.

MFA obligatorio en todos los servicios, incluyendo Azure

Microsoft ha impuesto MFA por defecto en toda su infraestructura crítica, especialmente en entornos de administración y servicios en la nube.

Migración a Azure Confidential Compute

El 95% de las máquinas virtuales de firma de Entra ID ahora funcionan sobre entornos de computación confidencial, protegiendo datos en uso incluso ante accesos privilegiados.

Centralización de validación de tokens

El 94,3% de la validación de tokens de seguridad se ha trasladado a su SDK estándar de Microsoft Entra ID, reduciendo inconsistencias y posibles fallas de implementación.

Eliminación de ADFS en su entorno productivo

Microsoft's ha descontinuado Active Directory Federation Services (ADFS) en sus entornos principales, reduciendo dependencias heredadas más vulnerables.

Limpieza masiva de inquilinos y aplicaciones obsoletas

• Más de 560.000 tenants antiguos o sin uso fueron eliminados.
• Se retiraron 83.000 aplicaciones Entra ID que ya no tenían actividad.

Caza avanzada de amenazas

Se centralizó el monitoreo del 98% de su infraestructura de producción, mejorando la detección temprana de actividades maliciosas.

Fortalecimiento de la firma de código

La firma de código está casi completamente bloqueada para identidades de producción, reduciendo el abuso interno o los riesgos por cuentas comprometidas.

Seguridad a nivel de firmware y memoria

Microsoft ha migrado componentes críticos de firmware UEFI a lenguaje Rust, reduciendo vulnerabilidades relacionadas con corrupción de memoria.

Divulgación responsable y recompensas

La compañía publicó 1.096 CVEs y destinó 17 millones de dólares en recompensas a investigadores de seguridad, fortaleciendo su ecosistema de bug bounty.

Riesgos para empresas que inyectan scripts en el login

Microsoft ha sido claro:
Las organizaciones que utilizan extensiones de navegador o herramientas que inyectan scripts en la página de inicio de sesión de Entra ID deberán abandonar este enfoque cuanto antes.

Este tipo de prácticas, aunque comunes en soluciones legacy o herramientas de monitoreo no oficiales, serán bloqueadas por la nueva CSP y podrían provocar:

• Fallos de autenticación.
• Errores en el flujo de inicio de sesión.
• Interrupciones en la experiencia del usuario.

Microsoft recomienda migrar a soluciones que no dependan de la inyección de código en el frontend de su plataforma.

Cómo verificar si tu organización será afectada

Para identificar posibles conflictos con la nueva política CSP, Microsoft sugiere realizar pruebas abriendo el portal de login con las herramientas de desarrollo del navegador activadas.

En específico, se debe:

• Abrir login.microsoftonline.com.
• Activar la consola del navegador.
• Iniciar sesión normalmente.
• Revisar si aparecen errores como:
• "Refused to load the script because it violates the following Content Security Policy directive: script-src..."

Estos mensajes indican que algún script está siendo bloqueado por la nueva política, lo que permitirá a los administradores actuar con anticipación.

Zero Trust como centro de la estrategia

Microsoft refuerza además su enfoque en Zero Trust, recomendando a las organizaciones:

• Automatizar la detección, respuesta y remediación de vulnerabilidades.
• Mantener visibilidad en tiempo real de incidentes en entornos híbridos y en la nube.
• Integrar inteligencia de amenazas directamente en sus flujos operativos.

Según la compañía, este enfoque reduce drásticamente los tiempos de contención, mejora la resiliencia operativa y acelera la recuperación frente a incidentes de seguridad.

Fuente: https://thehackernews.com/