A Microsoft anunciou que, a partir de outubro de 2026, implementará melhorias na segurança da autenticação do Entra ID, bloqueando ataques de injeção de scripts não autorizados. A atualização da Política de Segurança de Conteúdo (CSP) permitirá apenas a execução de scripts provenientes de domínios confiáveis da Microsoft durante o processo de login em ’login.microsoftonline.com’. Essa medida visa proteger os usuários contra ataques de Cross-Site Scripting (XSS), que possibilitam a injeção de códigos maliciosos em sites. A mudança se aplica exclusivamente a experiências de login baseadas em navegador e não afetará o Microsoft Entra External ID. A Microsoft recomenda que as organizações testem seus fluxos de autenticação antes da implementação para evitar problemas. Além disso, a empresa aconselha a não utilização de extensões de navegador que injetem códigos durante o login. Essa atualização faz parte da Iniciativa de Futuro Seguro da Microsoft, que busca priorizar a segurança no desenvolvimento de novos produtos, especialmente em resposta a um relatório que indicou a necessidade de uma reforma na cultura de segurança da empresa. Outras medidas de segurança já implementadas incluem a adoção de autenticação multifator resistente a phishing e a migração de serviços para ambientes mais seguros.
Fonte: https://thehackernews.com/2025/11/microsoft-to-block-unauthorized-scripts.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
27/11/2025 • Risco: ALTO
TECNOLOGIA
Microsoft reforça segurança do Entra ID contra injeções de scripts
RESUMO EXECUTIVO
A Microsoft está implementando uma atualização significativa em sua política de segurança para autenticação, visando proteger usuários contra injeções de scripts maliciosos. Com a adoção de práticas de segurança mais rigorosas, como a autenticação multifator, a empresa busca mitigar riscos e garantir a integridade dos dados dos usuários. A mudança é uma resposta a um relatório que indicou falhas na cultura de segurança da empresa, o que torna a ação ainda mais relevante para os CISOs que precisam garantir a segurança em suas organizações.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a ataques de injeção de scripts.
Operacional
Aumento da segurança na autenticação e redução de riscos de injeção de código.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de saúde']
📊 INDICADORES CHAVE
99,6% de adoção de autenticação multifator resistente a phishing.
Indicador
560.000 inquilinos não utilizados desativados.
Contexto BR
83.000 aplicativos Microsoft Entra ID não utilizados desativados.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se as autenticações em uso estão alinhadas com as novas políticas de CSP.
2
Descontinuar o uso de extensões de navegador que injetem códigos durante o login.
3
Monitorar continuamente os fluxos de autenticação para identificar possíveis violações de CSP.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das autenticações, especialmente em um cenário de crescente sofisticação de ameaças cibernéticas.
⚖️ COMPLIANCE
Implicações na conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
