ไมโครซอฟท์ยกระดับความปลอดภัย Entra ID! เตรียมบล็อกสคริปต์แปลกปลอมในการล็อกอินปี 2026

 

ไมโครซอฟท์ (Microsoft) ประกาศแผนการครั้งสำคัญเพื่อเสริมความแข็งแกร่งในการพิสูจน์ตัวตนของ Entra ID (เดิมคือ Azure AD) ด้วยการเตรียม บล็อกการแทรกสคริปต์ที่ไม่ได้รับอนุญาต (Unauthorized Script Injection Attacks) ในหน้าล็อกอิน โดยจะเริ่มมีผลบังคับใช้ในอีกประมาณหนึ่งปีข้างหน้า

การอัปเดตครั้งนี้จะทำผ่านการปรับปรุง นโยบายความปลอดภัยเนื้อหา (Content Security Policy - CSP) ให้เข้มงวดมากขึ้น เพื่อยกระดับประสบการณ์การเข้าสู่ระบบ Entra ID ที่โดเมน login.microsoftonline[.]com โดยจะอนุญาตให้รันเฉพาะสคริปต์ที่มาจากโดเมนที่เชื่อถือได้ของไมโครซอฟท์เท่านั้น

"การอัปเดตนี้ช่วยเสริมความปลอดภัยและเพิ่มการป้องกันอีกชั้นหนึ่ง ด้วยการอนุญาตให้เฉพาะสคริปต์จากโดเมน CDN ที่เชื่อถือได้ของไมโครซอฟท์เท่านั้นที่สามารถทำงานได้ในระหว่างการพิสูจน์ตัวตน ซึ่งจะช่วยบล็อกโค้ดที่ไม่ได้รับอนุญาตหรือโค้ดที่ถูกฉีด (Injected Code) ไม่ให้รันได้ในระหว่างกระบวนการล็อกอิน" ไมโครซอฟท์กล่าว

การเปลี่ยนแปลงนี้เป็นส่วนหนึ่งของ โครงการริเริ่มเพื่ออนาคตที่ปลอดภัย (Secure Future Initiative - SFI) ของไมโครซอฟท์ ซึ่งเป็นมาตรการเชิงรุกที่ออกแบบมาเพื่อปกป้องผู้ใช้จากการโจมตีประเภท Cross-Site Scripting (XSS) ที่ทำให้ผู้ไม่หวังดีสามารถแทรกโค้ดอันตรายเข้าสู่เว็บไซต์ได้

กำหนดการและการเตรียมความพร้อม

• การเปลี่ยนแปลงนี้จะจำกัดอยู่เฉพาะประสบการณ์การล็อกอินผ่านเบราว์เซอร์สำหรับ URL ที่ขึ้นต้นด้วย login.microsoftonline.com เท่านั้น โดยที่ Microsoft Entra External ID จะไม่ได้รับผลกระทบ
• คาดว่าจะเริ่มเปิดตัวทั่วโลกในช่วง กลางถึงปลายเดือนตุลาคม 2026

ไมโครซอฟท์ได้กระตุ้นเตือนให้องค์กรต่างๆ เร่งดำเนินการดังนี้:

1. ทดสอบขั้นตอนการล็อกอินอย่างละเอียด: เพื่อให้แน่ใจว่าจะไม่มีปัญหาใด ๆ และผู้ใช้สามารถล็อกอินได้อย่างราบรื่น
2. หลีกเลี่ยงการใช้ส่วนขยายเบราว์เซอร์หรือเครื่องมือที่แทรกโค้ด/สคริปต์: ในระหว่างประสบการณ์การล็อกอินของ Microsoft Entra และแนะนำให้เปลี่ยนไปใช้เครื่องมือที่ไม่ทำการฉีดโค้ดแทน
3. ตรวจสอบการละเมิด CSP: ผู้ดูแลระบบสามารถตรวจสอบข้อผิดพลาดในคอนโซลของเครื่องมือสำหรับนักพัฒนา (Dev Console) ของเบราว์เซอร์ หากพบข้อความว่า "Refused to load the script" (ปฏิเสธการโหลดสคริปต์) แสดงว่ามีการละเมิดคำสั่ง "script-src" และ "nonce"

Secure Future Initiative (SFI) ของไมโครซอฟท์

โครงการ SFI เป็นความพยายามต่อเนื่องหลายปีของไมโครซอฟท์ที่ตั้งเป้าให้ความสำคัญกับความปลอดภัยเป็นอันดับแรกในการออกแบบผลิตภัณฑ์ใหม่ และเตรียมรับมือกับภัยคุกคามไซเบอร์ที่ซับซ้อนขึ้นเรื่อย ๆ โครงการนี้เริ่มขึ้นในเดือนพฤศจิกายน 2023 และได้ขยายขอบเขตในเดือนพฤษภาคม 2024 หลังจากมีรายงานจากคณะกรรมการตรวจสอบความปลอดภัยทางไซเบอร์ของสหรัฐฯ (CSRB) ที่สรุปว่า "วัฒนธรรมความปลอดภัยของบริษัทไม่เพียงพอและต้องมีการยกเครื่องใหม่"

ในรายงานความคืบหน้าฉบับที่สามที่เผยแพร่เมื่อเดือนนี้ ไมโครซอฟท์ระบุว่าได้ดำเนินการหลายอย่างเพื่อยกระดับความปลอดภัยอย่างเห็นได้ชัด เช่น:

• ปรับใช้การตรวจจับใหม่กว่า 50 รายการในโครงสร้างพื้นฐานเพื่อมุ่งเป้าไปที่กลยุทธ์ เทคนิค และขั้นตอนที่มีความเสี่ยงสูง
• การใช้การพิสูจน์ตัวตนแบบหลายปัจจัย (MFA) ที่ทนทานต่อฟิชชิ่งสำหรับผู้ใช้และอุปกรณ์สูงถึง 99.6%
• บังคับใช้ MFA ทั่วทั้งบริการ รวมถึงผู้ใช้บริการ Azure ทั้งหมด
• ยุติการใช้ Active Directory Federation Services (ADFS) ในสภาพแวดล้อมการทำงานของตน
• เลิกใช้งานบัญชีผู้เช่า (Tenants) ที่ไม่ได้ใช้งานและมีอายุมากเพิ่มเติมอีก 560,000 รายการ และแอป Microsoft Entra ID ที่ไม่ได้ใช้งาน 83,000 แอป

ไมโครซอฟท์ทิ้งท้ายด้วยคำแนะนำที่สอดคล้องกับหลักการ Zero Trust ว่า องค์กรควรดำเนินการอัตโนมัติในการตรวจจับ ตอบสนอง และแก้ไขช่องโหว่ โดยใช้เครื่องมือรักษาความปลอดภัยแบบบูรณาการและการข่าวกรองภัยคุกคาม เพื่อให้สามารถกู้คืนและจำกัดขอบเขตของเหตุการณ์ความปลอดภัยได้เร็วขึ้น

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก