Microsoft Entra ID ปรับระบบล็อกอิน ป้องกันสคริปต์อันตรายด้วย CSP

Microsoft ประกาศยกระดับความปลอดภัยให้ระบบล็อกอินของ Entra ID ด้วยนโยบาย Content Security Policy (CSP) ที่เข้มงวดขึ้น เพื่อป้องกันการโจมตีแบบ External script injection / XSS โดยอนุญาตให้รันเฉพาะสคริปต์จากโดเมน CDN ที่ Microsoft ไว้ใจ และจำกัด Inline Script ให้ทำงาน ได้เฉพาะแหล่งที่ Microsoft อนุญาตเท่านั้น เพื่อลดโอกาสที่สคริปต์อันตรายจะแทรกเข้ามาขโมยข้อมูลหรือฝังมัลแวร์ขณะผู้ใช้ล็อกอินได้โดยตรง

มาตรการนี้ครอบคลุมเฉพาะการล็อกอินผ่านเบราว์เซอร์ บน URL ที่ขึ้นต้นด้วย login.microsoftonline.com ส่วน Microsoft Entra External ID ไม่ได้รับผลกระทบ องค์กรควรทดสอบ Flow การลงชื่อเข้าใช้ล่วงหน้า เพราะหลังมีผล Extension ที่เพิ่มสคริปต์ เข้าไปในหน้า Sign-in จะถูกบล็อกและ ใช้งานไม่ได้ แอดมินสามารถเปิด Developer Console เพื่อตรวจดู CSP violation ซึ่งจะแสดงเป็นข้อความสีแดงเพื่อไล่แก้ Dependency ที่ยังพึ่ง Script Injection อยู่

การเปลี่ยนแปลงนี้ถือว่าเป็นการอัปเกรดความปลอดภัยที่สำคัญของ Entra ID เพราะช่วยลดความเสี่ยงจากปัญหาที่พบได้บ่อยอย่าง Cross-site scripting (XSS) ที่นำไปสู่การโดนขโมยข้อมูลส่วนตัว หรือแม้แต่การเข้าควบคุมบัญชีผู้ใช้ หลังกระบวนการล็อกอินเสร็จ ซึ่งเหมาะมากกับองค์กรที่ใช้ Entra ID เป็นระบบยืนยันตัวตนหลักทั้งในคลาวด์และแอปภายใน

คำแนะนำ

• – ตรวจสอบว่าไม่มีส่วนขยาย (Browser Extension) หรือเครื่องมือใดที่รันสคริปต์เข้ามาในหน้าล็อกอิน ของ Entra ID
• – ควรติดตามประกาศจาก Microsoft และอัปเดต Policy หรือ Configuration ที่เกี่ยวข้องทันทีเมื่อ มีการเปิดใช้งาน CSP ใหม่
• – ควรบังคับใช้นโยบายความปลอดภัย เช่น MFA, Conditional Access และ Logging เพื่อให้ตรวจสอบกิจกรรมการล็อกอินและ Session ได้ตลอดเวลา
• – ควรฝึกอบรมผู้ใช้ให้ระวังลิงก์อันตราย และตรวจสอบ URL ของหน้าล็อกอินอย่างละเอียดก่อนใส่รหัสผ่าน
• – ควรใช้ Microsoft Entra ID Protection เพื่อช่วยตรวจจับพฤติกรรมเสี่ยง และแจ้งเตือนทันที เมื่อมีความผิดปกติ

Reference: https://www.bleepingcomputer.com/news/microsoft/microsoft-to-secure-entra-id-sign-ins-from-external-script-injection-attacks/