Microsoft gaat ongeautoriseerde scripts blokkeren bij Entra ID-aanmeldingen met de CSP-update 2026

Cyberbeveiliging
Microsoft gaat ongeautoriseerde scripts blokkeren bij Entra ID-aanmeldingen met de CSP-update 2026

Microsoft heeft plannen aangekondigd om de beveiliging van Entra ID-authenticatie te verbeteren door ongeautoriseerde scriptinjectie-aanvallen vanaf nu te blokkeren.

De update van het Content Security Policy (CSP) heeft tot doel de Entra ID-aanmeldingservaring op “login.microsoftonline(.)com” te verbeteren door alleen scripts van vertrouwde Microsoft-domeinen te laten draaien.

“Deze update versterkt de beveiliging en voegt een extra beschermingslaag toe door toe te staan ​​dat alleen scripts van vertrouwde Microsoft-domeinen worden uitgevoerd tijdens de authenticatie, waardoor wordt voorkomen dat ongeautoriseerde of geïnjecteerde code wordt uitgevoerd tijdens het inloggen”, aldus de Windows-maker.

Concreet staat het alleen scriptdownloads toe van door Microsoft vertrouwde CDN-domeinen en inline scriptuitvoering vanaf een vertrouwde Microsoft-bron. Het bijgewerkte beleid is beperkt tot browsergebaseerde aanmeldingservaringen voor URL’s die beginnen met login.microsoftonline.com. De externe ID van Microsoft Entra wordt niet beïnvloed.

De wijziging, die wordt omschreven als een proactieve maatregel, maakt deel uit van het Secure Future Initiative (SFI) van Microsoft en is bedoeld om gebruikers te beschermen tegen cross-site scripting (XSS)-aanvallen die het mogelijk maken om kwaadaardige code in websites te injecteren. De verwachting is dat het vanaf midden tot eind oktober 2026 wereldwijd zal worden uitgerold.

Microsoft dringt er bij organisaties op aan om hun aanmeldingsstromen van tevoren grondig te testen om er zeker van te zijn dat er geen problemen optreden en dat de aanmeldingservaring probleemloos verloopt.

Het adviseert klanten ook om geen browserextensies of tools te gebruiken die code of script in de aanmeldingservaring van Microsoft Entra injecteren. Degenen die deze aanpak volgen, wordt aangeraden om over te schakelen naar andere tools die geen code injecteren.

Om eventuele CSP-schendingen te identificeren, kunnen gebruikers een aanmeldingsstroom doorlopen terwijl de ontwikkelaarsconsole open is en toegang krijgen tot de consoletool van de browser binnen de ontwikkelaarstools om te controleren op fouten met de tekst ‘Weigerde het script te laden’ omdat deze in strijd zijn met de richtlijnen ‘script-src’ en ‘nonce’.

De SFI van Microsoft is een meerjarig initiatief dat tot doel heeft beveiliging boven alles te stellen bij het ontwerpen van nieuwe producten en zich beter voor te bereiden op de toenemende verfijning van cyberdreigingen.

Het werd voor het eerst gelanceerd in november 2023 en uitgebreid in mei 2024 na een rapport van de Amerikaanse Cyber ​​Safety Review Board (CSRB), waarin werd geconcludeerd dat de “beveiligingscultuur van het bedrijf ontoereikend was en een herziening vereist”.

In zijn derde voortgangsrapport dat deze maand werd gepubliceerd, zei de technologiegigant dat het meer dan 50 nieuwe detecties in zijn infrastructuur heeft geïmplementeerd om zich te richten op tactieken, technieken en procedures met hoge prioriteit, en dat de adoptie van phishing-resistente multi-factor authenticatie (MFA) voor gebruikers en apparaten 99,6% heeft bereikt.

Andere opmerkelijke wijzigingen die door Microsoft zijn doorgevoerd, zijn als volgt:

  • Verplichte MFA afgedwongen voor alle services, inclusief voor alle Azure-servicegebruikers
  • Introductie van automatische herstelmogelijkheden via Quick Machine Recovery, uitgebreide wachtwoordsleutel en Windows Hello-ondersteuning, en verbeterde geheugenveiligheid in UEFI-firmware en stuurprogramma’s door gebruik te maken van Rust
  • Migreert 95% van de Microsoft Entra ID-ondertekenende VM’s naar Azure Confidential Compute en verplaatst 94,3% van de Microsoft Entra ID-beveiligingstokenvalidatie naar de standaardidentiteit Software Development Kit (SDK)
  • Het gebruik van Active Directory Federation Services (ADFS) in onze productiviteitsomgeving is stopgezet
  • 560.000 extra ongebruikte en verouderde tenants en 83.000 ongebruikte Microsoft Entra ID-apps buiten gebruik gesteld in Microsoft-productie- en productiviteitsomgevingen
  • Geavanceerde jacht op bedreigingen door centraal 98% van de productie-infrastructuur te volgen
  • Volledige inventarisatie van netwerkapparaten en volwassen levenscyclusbeheer van activa gerealiseerd
  • Bijna volledig vergrendelde codeondertekening voor productie-identiteiten
  • Publiceerde 1.096 CVE’s, waaronder 53 cloud-CVE’s zonder actie, en betaalde $ 17 miljoen aan premies

“Om in lijn te zijn met de Zero Trust-principes moeten organisaties de detectie, respons en herstel van kwetsbaarheden automatiseren met behulp van geïntegreerde beveiligingstools en bedreigingsinformatie”, aldus Microsoft. “Het behouden van realtime inzicht in beveiligingsincidenten in hybride en cloudomgevingen maakt snellere beheersing en herstel mogelijk.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De 200 MP camerasensor van Sony is er… en elke Ultra-vlaggenschiptelefoon wil hem

Steeds meer grootouders in Nederland weigeren om op hun kleinkinderen te passen – en de reden zal je verrassen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]