Microsoft mengumumkan rencana peningkatan keamanan signifikan pada sistem autentikasi Entra ID, yang akan mulai diterapkan pada pertengahan hingga akhir Oktober 2026. Pembaruan ini berfokus pada perlindungan terhadap serangan script injection, termasuk cross-site scripting (XSS), yang dapat digunakan untuk mencuri kredensial atau menyusupi proses autentikasi.
Langkah ini merupakan bagian dari upaya berkelanjutan Microsoft dalam memperkuat arsitektur keamanan identitas, khususnya pada pengalaman browser-based sign-in yang banyak digunakan organisasi di seluruh dunia.
Kebijakan Content Security Policy Baru
Pembaruan ini akan mengimplementasikan Content Security Policy (CSP) yang lebih ketat, dengan ketentuan:
- Hanya skrip yang diunduh dari domain CDN tepercaya milik Microsoft yang dapat dijalankan.
- Inline scripts hanya dapat dieksekusi jika berasal dari sumber terpercaya Microsoft.
- Semua kode atau skrip eksternal yang disuntikkan—baik oleh ekstensi, alat, atau pihak ketiga—akan otomatis diblokir.
Kebijakan ini berlaku untuk autentikasi yang menggunakan URL login.microsoftonline.com. Pengguna Microsoft Entra External ID tidak akan terpengaruh.
Microsoft menegaskan bahwa perubahan ini memberikan lapisan perlindungan tambahan dengan mencegah skrip tidak sah atau berbahaya mengganggu proses login.
Dampak bagi Organisasi dan Developer
Microsoft meminta organisasi untuk:
- Menguji seluruh alur sign-in sebelum tenggat Oktober 2026,
- Meninjau ketergantungan pada ekstensi atau alat yang menyuntikkan skrip ke halaman login,
- Menghentikan penggunaan extension yang memodifikasi halaman autentikasi, karena alat-alat tersebut tidak akan didukung lagi.
Admin dapat memeriksa potensi masalah dengan membuka browser developer console selama proses login—pelanggaran CSP akan muncul berwarna merah, dengan detail skrip yang diblokir.
Bagian dari Secure Future Initiative (SFI)
Pembaruan kebijakan CSP ini merupakan bagian dari Secure Future Initiative (SFI), program transformasi keamanan besar-besaran yang dimulai Microsoft pada 2023 setelah kritik dari Cyber Safety Review Board AS mengenai budaya keamanan perusahaan.
Sejumlah perubahan besar lain dalam kerangka SFI antara lain:
- Pemblokiran akses SharePoint dan OneDrive via protokol autentikasi lama,
- Penonaktifan seluruh ActiveX pada aplikasi Microsoft 365 dan Office 2024,
- Penerapan fitur Teams untuk memblokir screen capture selama meeting,
- Peningkatan kontrol terhadap tautan dan file berbahaya di Teams.
Dengan langkah ini, Microsoft berharap dapat mengurangi risiko kompromi identitas melalui manipulasi halaman login—salah satu vektor serangan yang masih sering disalahgunakan.
Sumber: Microsoft