ハッカーたちは何十年にもわたり、広く存在する脆弱性を悪用してきました。マイクロソフトはこれを変えようとしています。
マイクロソフトは、ハッカーによるユーザーアカウントの乗っ取りを困難にするため、クラウドプラットフォームのログインシステムを強化しています。
来年10月から、マイクロソフトのEntra IDクラウドID管理プラットフォームは、「信頼されたマイクロソフトドメイン」から発信されていない限り、ログインプロセス中にスクリプトの実行をブロックしますと同社は月曜日に発表しました。
「これは、クロスサイトスクリプティング(XSS)など、攻撃者が悪意のあるコードをウェブサイトに挿入できる現在のセキュリティリスクからユーザーをさらに保護するための積極的な対策です」と、Entra IDプロダクトマネージャーのAnkur Patel氏はブログ投稿で述べています。
この変更は、国家による一連のサイバー攻撃でシステム上の根本的な弱点が明らかになった後、同社が発表した「Secure Future Initiative」の一環です。
マイクロソフトは、Content Security Policyブラウザセキュリティヘッダーの修正を通じてスクリプト制限を実施すると述べました。これは、ウェブブラウザにコンテンツを安全に扱う方法を指示するコードです。
このアップデートは、ウェブブラウザ以外のアプリケーションで認証を行うEntra External IDには適用されません。
マイクロソフトは、スムーズな導入のため、変更前にサインインプロセスのテストを組織に推奨しています。
根強い脆弱性
ソフトウェア開発者は何十年も前からクロスサイトスクリプティング攻撃のリスクを理解していますが、根本的な脆弱性が依然として広く存在しているため、これらの攻撃は今もハッカーにとって強力な手段となっています。最新のツールで開発された現代的なアプリケーションでさえ例外ではありません。
「マイクロソフトでは、レガシーポータルから新たに展開されたシングルページアプリまで、サービス全体でXSS報告が絶えず寄せられています」と同社は9月のブログ投稿で述べています。投稿によると、Microsoft Security Response Centerは2024年1月から2025年半ばまでに約1,000件のXSS脆弱性を緩和しました。
「ブラウザのセキュリティ、コンテンツセキュリティポリシー(CSP)、セキュア・バイ・デフォルトのライブラリが進化したにもかかわらず」とマイクロソフトは述べ、「XSSは依然として現実的な影響をもたらす持続的な脅威ベクトルです。」
翻訳元: https://www.cybersecuritydive.com/news/microsoft-change-cloud-login-entra-id-xss/806556/
