Hack Alerta

Microsoft bloqueará scripts externos em logins do Entra ID

Por Redação Hack Alerta Publicado em 28/11/2025 06:01 Cloud Tempo de leitura: 3 min

A Microsoft anunciou que bloqueará a execução de scripts externos na página de login do Entra ID (login.microsoftonline.com), com aplicação global prevista para meados/final de outubro de 2026; a medida visa mitigar ataques XSS e recomenda que administradores testem fluxos de login previamente.

A Microsoft anunciou que atualizará sua Content Security Policy para bloquear a execução de scripts externos na página de login do Microsoft Entra ID, como medida para reduzir riscos de injeção de código e ataques XSS durante autenticação.

O que mudou agora

A empresa informou que aplicará uma política mais restritiva ao domínio login.microsoftonline.com: somente scripts originados em domínios confiáveis da Microsoft poderão ser executados na etapa de sign-in. A medida faz parte do que a companhia descreve como iniciativa mais ampla de proteção do futuro (Secure Future Initiative).

Escopo e cronograma

O bloqueio de scripts externos será aplicado para sign-ins via navegador no URL específico de login da Microsoft e não afetará o Microsoft Entra External ID, segundo a própria empresa. A adoção global dessa política está prevista para meados/final de outubro de 2026, conforme comunicado referenciado nas matérias de origem.

Por que a mudança importa (vetor e mitigação)

O objetivo declarado é reduzir a superfície de ataque frente a técnicas como cross-site scripting (XSS) que permitem a injeção de código malicioso em páginas legítimas. Segundo a orientação da Microsoft, extensões de navegador ou ferramentas que injetam scripts na página de autenticação deixarão de funcionar: somente código servido por domínios Microsoft será permitido.

Orientações para administradores

A Microsoft recomenda que administradores testem fluxos de login antecipadamente para identificar ferramentas que dependam de injeção de scripts. Um método sugerido é abrir o console do desenvolvedor durante o processo de login; se ferramentas violarem a nova política, mensagens de erro aparecerão em vermelho no console.

Declarações oficiais

Megna Kokkalera, Product Manager II da Microsoft, foi citada destacando que a mudança adiciona uma camada crítica de defesa às identidades dos usuários (a citação literal aparece nas matérias originais).

Limites das informações

As publicações que informaram a mudança não listam um inventário de extensões que serão bloqueadas nem fornecem métricas sobre o impacto operacional previsto para clientes que utilizam ferramentas que manipulam a página de login. A Microsoft orienta testes prévios para mitigar interrupções.

Recomendações práticas

  • Avaliar hoje quais extensões e ferramentas personalizadas interagem com login.microsoftonline.com.
  • Testar fluxos de autenticação em ambiente controlado abrindo o console de desenvolvedor para identificar erros.
  • Planejar comunicação com equipes de identidade e SSO para evitar surpresas durante a aplicação global da política.

A mudança representa um movimento claro em direção a um sign-in mais fechado e controlado, reduzindo riscos associados a scripts de terceiros que possam comprometer o processo de autenticação via navegador.

Baseado em publicação original de Microsoft
Tags: #microsoft #entra-id #csp #login #microsoftonline #xss #authentication #extensions #admin
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar