أعلنت مايكروسوفت عن خطط لتعزيز أمان المصادقة في Entra ID عبر حظر هجمات حقن السكربتات غير المصرّح بها، وذلك بدءًا من العام المقبل. ويستهدف التحديث الجديد لسياسة أمان المحتوى (CSP) تحسين تجربة تسجيل الدخول عبر نطاق login.microsoftonline[.]com من خلال السماح فقط بتشغيل السكربتات القادمة من نطاقات موثوقة تابعة لمايكروسوفت.
وقالت الشركة إن هذا الإجراء “يعزز الأمان ويضيف طبقة حماية إضافية عبر السماح بتشغيل السكربتات الموثوقة فقط أثناء المصادقة، ومنع تنفيذ الأكواد غير المصرح بها أثناء تجربة تسجيل الدخول”.
ويتضمن التحديث السماح بتنزيل السكربتات من شبكات CDN موثوقة لمايكروسوفت، وتنفيذ السكربتات الداخلية ذات التوقيع الموثوق. ويقتصر تطبيق السياسة الجديدة على عمليات تسجيل الدخول عبر المتصفح للروابط التي تبدأ بـ login.microsoftonline.com، بينما لن تتأثر خدمة Entra External ID.
جزء من مبادرة الأمن المستقبلي
ووصفت مايكروسوفت هذا التغيير بأنه إجراء استباقي يدخل ضمن إطار مبادرة الأمن المستقبلي (SFI) الهادفة لحماية المستخدمين من هجمات XSS التي تسمح بحقن أكواد خبيثة داخل المواقع. ومن المقرر تطبيق التحديث عالميًا بدءًا من منتصف إلى أواخر أكتوبر 2026.
وتحث الشركة المؤسسات على اختبار تدفقات تسجيل الدخول قبل موعد التطبيق لضمان خلوّها من الأعطال ولتفادي أي احتكاك في تجربة المستخدم. كما نصحت العملاء بتجنب استخدام ملحقات المتصفح أو الأدوات التي تحقن السكربت في صفحة تسجيل الدخول الخاصة بـ Entra ID، والانتقال بدلًا من ذلك إلى أدوات لا تعتمد هذا الأسلوب.
ويمكن للمستخدمين اكتشاف أي انتهاكات محتملة لسياسة CSP عبر مراقبة وحدة Console في أدوات التطوير بالمتصفح، والبحث عن رسائل “Refused to load the script” المتعلقة بتوجيهات “script-src” و”nonce”.
تقدم في جهود “الأمن أولًا”
تؤكد مايكروسوفت أن مبادرة SFI تمثل جهدًا متعدد السنوات لوضع الأمن في صدارة تصميم المنتجات الجديدة، وتعزيز الجاهزية لمواجهة التهديدات المتقدمة. وقد انطلقت المبادرة في نوفمبر 2023، ثم توسعت في مايو 2024 بعد تقرير مجلس مراجعة السلامة السيبرانية الأميركي (CSRB) الذي خلص إلى أن “ثقافة الأمن داخل الشركة كانت غير كافية وتتطلب إصلاحًا شاملًا”.
وفي تقريرها الثالث الصادر هذا الشهر، كشفت مايكروسوفت عن نشر أكثر من 50 آلية كشف جديدة تستهدف التكتيكات والتقنيات والإجراءات عالية الأولوية ضمن بنيتها التحتية، وأن اعتماد المصادقة متعددة العوامل المقاومة للتصيد بلغ 99.6% عبر المستخدمين والأجهزة.
تغييرات أمنية بارزة داخل البنية السحابية
أعلنت مايكروسوفت عن مجموعة من التغييرات الجوهرية ضمن برنامج SFI، أبرزها:
-
تطبيق المصادقة متعددة العوامل الإلزامية (MFA) عبر جميع الخدمات، بما في ذلك مستخدمو خدمات Azure
-
إضافة إمكانات الاستعادة التلقائية مثل Quick Machine Recovery، وتوسيع دعم المفاتيح البيومترية وWindows Hello، وتحسين أمان الذاكرة في برامج UEFI وبرامج التشغيل باستخدام لغة Rust
-
نقل 95% من أجهزة التوقيع الخاصة بـ Microsoft Entra ID إلى بنية Azure Confidential Compute، ونقل 94.3% من عمليات التحقق من رموز الأمان إلى مجموعة SDK القياسية للهوية
-
إيقاف استخدام Active Directory Federation Services (ADFS) في بيئات الإنتاج
-
إزالة 560 ألف مستأجر قديم غير مستخدم، و83 ألف تطبيق Entra ID غير مستخدم عبر بيئات الإنتاج
-
تعزيز عمليات الصيد التهديدي بتتبع 98% من البنية التحتية الإنتاجية مركزيًا
-
تحقيق حصر كامل للأجهزة الشبكية، وتحسين دورة حياة إدارة الأصول
-
إحكام عملية توقيع الأكواد وربطها بهويات الإنتاج فقط
-
نشر 1,096 ثغرة CVE، بينها 53 ثغرة سحابية لا تتطلب إجراءً، وصرف 17 مليون دولار مكافآت مالية للباحثين
وقالت مايكروسوفت إن الالتزام بمبادئ الثقة الصفرية (Zero Trust) يتطلب من المؤسسات أتمتة عمليات الكشف والاستجابة والإصلاح باستخدام أدوات أمنية متكاملة وذكاء تهديدات متقدم، إضافة إلى الحفاظ على رؤية لحظية عبر البيئات الهجينة والسحابية بما يضمن تسريع الاحتواء والتعافي.
