Microsoft วางแผนที่จะเพิ่มความปลอดภัยให้กับระบบ Entra ID authentication จากการโจมตีในรูปแบบ script injection จากภายนอก โดยจะเริ่มดำเนินการในช่วงกลางถึงปลายเดือนตุลาคม 2026
การอัปเดตนี้จะนำ Content Security Policy ที่เข้มงวดมากขึ้นมาใช้ ซึ่งจะอนุญาตให้ดาวน์โหลดสคริปต์ได้จากโดเมน Content Delivery Network ที่เชื่อถือได้จาก Microsoft เท่านั้น และจะมีการอนุญาตให้ใช้งาน inline script จาก Microsoft แหล่งที่มีความน่าเชื่อถือเท่านั้น ในระหว่างกระบวนการลงชื่อเข้าใช้
หลังจากการเปิดตัวใช้งาน ระบบจะช่วยป้องกันผู้ใช้จากความเสี่ยงด้านความปลอดภัยต่าง ๆ รวมถึงการโจมตีแบบ Cross-Site Scripting (XSS) ที่ผู้โจมตีจะ inject malicious code เข้าไปในเว็บไซต์เพื่อขโมยข้อมูล credentials หรือควบคุมระบบ
นโยบายการอัปเดตนี้จะใช้ได้กับการลงชื่อเข้าใช้ผ่านเบราว์เซอร์ใน URL ที่ขึ้นต้นด้วย login.microsoftonline.com และจะไม่ส่งผลกระทบต่อ Microsoft Entra External ID
Megna Kokkalera ตำแหน่ง Product manager สำหรับ Microsoft Identity และ Authentication Experiences ระบุว่า การอัปเดตนี้จะช่วยเสริมความปลอดภัยให้มากยิ่งขึ้น และเพิ่มการป้องกันอีกชั้นหนึ่ง โดยการอนุญาตให้สคริปต์จากโดเมนของ Microsoft ที่เชื่อถือได้เท่านั้นที่สามารถทำงานได้ในระหว่างการยืนยันตัวตน ซึ่งจะเป็นการบล็อกโค้ดที่ไม่ได้รับอนุญาต หรือโค้ดที่ถูก inject ไม่ให้ทำงานได้ในระหว่างการเข้าสู่ระบบ
Microsoft แนะนำให้องค์กรต่าง ๆ ทดสอบ scenarios การลงชื่อเข้าใช้ก่อนถึงกำหนดในเดือนตุลาคม 2026 เพื่อตรวจสอบ และแก้ไขช่องโหว่ที่อาจเกี่ยวข้องกับเครื่องมือที่ใช้ code-injection
ผู้ดูแลระบบสามารถระบุผลกระทบที่อาจเกิดขึ้นได้โดยการตรวจสอบขั้นตอนการลงชื่อเข้าใช้ใน browser developer console ซึ่งการละเมิดนโยบายจะปรากฏเป็นข้อความสีแดงพร้อมรายละเอียดเกี่ยวกับสคริปต์ที่ถูกบล็อก
Microsoft ยังแนะนำให้ลูกค้าหยุดใช้ browser extensions และเครื่องมือที่ทำการ inject code หรือสคริปต์เข้าไปในหน้าลงชื่อเข้าใช้ เพราะเครื่องมือเหล่านี้จะถูกยกเลิกการ supported และหยุดทำงานก่อนการเปลี่ยนแปลงจะมีผลบังคับใช้ อย่างไรก็ตาม ผู้ใช้จะยังคงลงชื่อเข้าใช้ได้ตามปกติ
Kokkalera ระบุเพิ่มเติมว่า Content Security Policy นี้เป็นการเพิ่มชั้นการป้องกันอีกชั้นหนึ่ง โดยการบล็อกสคริปต์ที่ไม่ได้รับอนุญาต ซึ่งช่วยป้องกันองค์กรจากภัยคุกคามด้านความปลอดภัยที่เปลี่ยนแปลงอยู่เสมอ
การดำเนินการนี้เป็นส่วนหนึ่งของโครงการ Secure Future Initiative (SFI) ของ Microsoft ซึ่งเป็นความพยายามทั่วทั้งองค์กรที่เปิดตัวเมื่อสองปีที่แล้วในเดือนพฤศจิกายน 2023 หลังจากการรายงานของคณะกรรมการตรวจสอบความปลอดภัยทางไซเบอร์ของกระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ (Cyber Safety Review Board of the U.S. Department of Homeland Security) ซึ่งพบว่าความปลอดภัยของบริษัทนั้นไม่เพียงพอ และจำเป็นต้องมีการปรับปรุงใหม่
ในส่วนหนึ่งของโครงการเดียวกันนี้ Microsoft ยังได้อัปเดตค่า defaults ด้านความปลอดภัยของ Microsoft 365 เพื่อบล็อกการเข้าถึงไฟล์ SharePoint, OneDrive และ Office ผ่านโปรโตคอลการยืนยันตัวตนแบบเก่า รวมถึงได้ปิดใช้งาน ActiveX controls ทั้งหมดในแอปพลิเคชัน Microsoft 365 และ Office 2024 เวอร์ชัน Windows
เมื่อต้นเดือน มีการเปิดตัวฟีเจอร์ Teams ใหม่ที่ประกาศเมื่อเดือนพฤษภาคม ซึ่งออกแบบมาเพื่อบล็อกความพยายามในการจับภาพหน้าจอระหว่างการประชุม
ที่มา : bleepingcomputer
You must be logged in to post a comment.