ضعف أمان الهوية هو السبب الجذري للهجمات الدولية القومية ضد مايكروسوفت
![ضعف أمان الهوية هو السبب الجذري للهجمات الدولية القومية ضد مايكروسوفت](https://www.tenable.com/sites/default/files/images/articles/Poor%20Identity%20Hygiene%20at%20Root%20of%20Nation-State%20Attack%20Against%20Microsoft.jpg)
ويُظهر الانتهاك الأخير الذي تعرضت له شركة مايكروسوفت مرة أخرى أن الاكتشاف والاستجابة ليسا كافيين. ونظرًا لأن مصدر الهجوم يتلخص دائمًا في مستخدم واحد وإذن واحد يتم التغاضي عنه، فمن المهم أن تتمتع المؤسسات بأمان وقائي قوي.
في 19 يناير، أعلنت شركة مايكروسوفت أنه تم اختراقها عبر مُعرف Entra (المعروف سابقًا باسم Azure AD) من خلال جهة تهديد تابعة لدولة قومية تسمى Midnight Blizzard. شاركت مايكروسوفت المعلومات المتعلقة بالهجوم، بما في ذلك التكتيكات والتقنيات والإجراءات (TTPs)، وإرشاداتها للمستجبين. يمكن أن تكون الشركات غامضة عمدًا بشأن تفاصيل معينة متعلقة بالهجوم للحفاظ على سرية بيئتها الداخلية ولتقليل الضرر الذي يلحق بسمعتها. ومع ذلك، تقدم مايكروسوفت بعض التفاصيل للمساعدة في فهم ما استغلته Midnight Blizzard لاختراق بيئة شركة مايكروسوفت.
ما يبرز في هذا الاختراق هو الحاجة إلى جهود أمنية وقائية أفضل لتقليل المخاطر الناجمة عن أمان الهوية الضعيف. يمكن أن يكون للهويات التي يتم تجاهلها والأذونات المفرطة والإعدادات التي تم تكوينها بشكل خاطئ عواقب وخيمة - حتى على الرغم من أدوات وإمكانيات اكتشافها والاستجابة المتطورة. يحدد Tenable Identity Exposure الثغرات الأمنية التي يمكن أن تستغلها مثل هذه الهجمات، بما في ذلك:
- اكتشاف عدم تمكين المصادقة الثنائية
- أذونات خطيرة لواجهة برمجة التطبيقات
- تحليل حساب المسؤول
دعونا نستعرض بإيجاز ما حدث.
في حين أن إعلان مايكروسوفت قد حدد العديد من الخطوات المختلفة في الهجوم، إلا أن الهجوم يستغل بعض نقاط الضعف الشائعة جدًا بما في ذلك: ضعف أمان كلمة المرور، وعدم استخدام المصادقة الثنائية، والأذونات الزائدة وأدوار Entra المميزة.
كانت مرحلة الوصول الأولية لهذا الهجوم عبارة عن استخدام كلمات مرور بسيطة، وهي تقنية هجوم يستهدف فيها ممثل التهديد الهويات التي تحتوي على كلمات مرور ضعيفة أو مخترقة. استهدف هذا الهجوم الأولي بيئة غير إنتاجية واتخذت Midnight Blizzard خطوات دقيقة خلال هذه المرحلة لتجنب اكتشافها. كما أوضحت مايكروسوفت: "صمم المهاجم هجمات استخدام كلمات المرور الخاصة به على عدد محدود من الحسابات، باستخدام عدد قليل من المحاولات لتجنب اكتشافه (...) ومواصلة إطلاق هذه الهجمات من حساب بنيةوكيل سكني موزع (...) لم يتم تمكين المصادقة الثنائية به".
وجود مصادقة ثنائية على هذا الحساب، على الرغم من كونه ليس حسابًا إنتاجيًا، كان من الممكن أن يمنع هجوم استخدام كلمات المرور من الوصول إلى هدفه النهائي. وعلى الأقل، كان من الممكن أن يجعل من الصعب نجاح استخدام كلمات المرور، وبالتالي يسهل اكتشافه.
وبعد ذلك، انتقل المهاجمون من بيئة الاختبار إلى بيئة إنتاج الشركة من خلال استغلال أذونات واجهة برمجة التطبيقات الرسومية (Graph API) الزائدة. وعلى الرغم من أن التطبيق تم تسجيله في مستأجر اختبار مايكروسوفت، إلا أن هويته المقابلة مُنحت أذونات Graph API الخطيرة في مستأجر إنتاج الشركة.
تمكن المهاجمون من الوصول إلى صناديق البريد الخاصة بالمديرين التنفيذيين الرئيسيين لشركة Microsoft لأكثر من شهرين.
وقد سمح ذلك لممثل التهديد باختراق تسجيل التطبيق والانتقال إلى مستأجر الإنتاج عبر هوية الخدمة المقابلة. وبعد الوصول إلى بيئة شركة مايكروسوفت، قاموا في النهاية بمنح إذن بواجهة برمجة التطبيقات "full_access_as_app" الخاص بـ Office 365 Exchange Online للتطبيقات الضارة الجديدة التي قاموا بإنشائها، مما سمح لهم بالوصول إلى صناديق البريد التنفيذية الرئيسية لأكثر من شهرين.
وغالبًا ما تمنح أذونات واجهة برمجة التطبيقات (API) إمكانية الوصول مع نتائج معقدة لفك تشفيرها، ومن المعروف أن واجهة برمجة التطبيقات الرسومية من مايكروسوفت (Microsoft Graph API) يصعب فهمها. وربما وقعت مايكروسوفت نفسها ضحية لهذا التعقيد. من الواضح أن هذا النقص في أمان الهوية هو شيء استغله ممثل التهديد للتسلل إلى بيئة إنتاج مايكروسوفت والوصول إلى مراسلات الشركة الحساسة.
إن الحاجة إلى التقييم المستمر وفهم مخاطر الهوية من أجل تنفيذ عمليات العلاج بذكاء وتقليل سطح الهجوم قبل حدوث الهجوم أصبحت أمرًا ضروريًا. وعلى الرغم من أن مايكروسوفت تقدم العديد من الأدوات والخدمات لاكتشاف الهجمات وتعطيلها، إلا أن الانتهاكات المعقدة غالبًا ما تؤدي إلى عمليات مراقبة صغيرة داخل حساب أو إذن واحد. ويتفاقم التحدي المتمثل في الحد من سطح الهجوم على الهويات بشكل وقائي بسبب طبيعته المتغيرة باستمرار ويتطلب التحقق المستمر من المخاطر.
يعمل Tenable Identity Exposure على التحقق من صحة الوضع الأمني لأنظمة هوية مايكروسوفت ويعطي الأولوية للهويات والأذونات والتكوينات المحفوفة بالمخاطر لتقليل سطح الهجوم على الفور.
تُوفر Tenable أربعة مؤشرات محددة للتعرض لمخاطر (IoEs) للمساعدة في منع هذه الأنواع من الهجمات. ويتيح مؤشرين من مؤشرات التعرض للمخاطر في Identity Exposure للعملاء تحديد الحسابات المعرضة للخطر بسبب نقص المصادقة الثنائية. تكشف مؤشرات التعرض للمخاطر حسابات Microsoft Entra ID التي لا تمتلك أي طريقة مسجلة للمصادقة الثنائية، والتي غالبًا ما يتم استغلالها في هجمات اختراق كلمة المرور:
- عدم تمكين المصادقة الثنائية لحساب لديه امتيازات
- عدم تمكين المصادقة الثنائية لحساب ليس لديه امتيازات
يحتوي Identity Exposure أيضًا على اثنين من مؤشرات التعرض للمخاطر يكتشفان ويحللان أدوار Microsoft Entra الخطيرة وأذونات Microsoft Graph API بحيث يمكن التخلص من نواقل الهجوم هذه قبل حدوث الهجوم:
- أذونات واجهة برمجة التطبيقات (API) الخطيرة التي تؤثر على المستأجر
- ارتفاع عدد المسؤولين
ومع تمكين هذه المءشرات، يتحقق Identity Exposure باستمرار من صحة العديد من الجوانب المهمة والتي غالبًا ما يتم تجاهلها في أنظمة هوية مايكروسوفت. تكشف Tenable أيضًا عن الهويات الأكثر خطورة وتوفر إرشادات خطوة بخطوة من أجل إجراء المعالجة. تُعد التكتيكات التي تستخدمها Midnight Blizzard مثالًا رئيسيًا على أنواع مخاطر الهوية ومسارات الهجوم التي يمكن أن يساعد Tenable Identity Exposure في القضاء عليها لمنع التعرض لهجوم ناجح.
لمزيد من المعلومات حول كيفية مساعدة Tenable Identity Exposure في تقليل سطح الهجوم لبيئة هوية مايكروسوفت الخاصة بك، يرجى طلب عرض توضيحي أو نزيل ورقة بيانات Identity Exposure.
مقالات ذات صلة
- Active Directory
- Active Directory