ضعف أمان الهوية هو السبب الجذري للهجمات الدولية القومية ضد مايكروسوفت
ويُظهر الانتهاك الأخير الذي تعرضت له شركة مايكروسوفت مرة أخرى أن الاكتشاف والاستجابة ليسا كافيين. ونظرًا لأن مصدر الهجوم يتلخص دائمًا في مستخدم واحد وإذن واحد يتم التغاضي عنه، فمن المهم أن تتمتع المؤسسات بأمان وقائي قوي.
في 19 يناير، أعلنت شركة مايكروسوفت أنه تم اختراقها عبر مُعرف Entra (المعروف سابقًا باسم Azure AD) من خلال جهة تهديد تابعة لدولة قومية تسمى Midnight Blizzard. شاركت مايكروسوفت المعلومات المتعلقة بالهجوم، بما في ذلك التكتيكات والتقنيات والإجراءات (TTPs)، وإرشاداتها للمستجبين. يمكن أن تكون الشركات غامضة عمدًا بشأن تفاصيل معينة متعلقة بالهجوم للحفاظ على سرية بيئتها الداخلية ولتقليل الضرر الذي يلحق بسمعتها. ومع ذلك، تقدم مايكروسوفت بعض التفاصيل للمساعدة في فهم ما استغلته Midnight Blizzard لاختراق بيئة شركة مايكروسوفت.
ما يبرز في هذا الاختراق هو الحاجة إلى جهود أمنية وقائية أفضل لتقليل المخاطر الناجمة عن أمان الهوية الضعيف. يمكن أن يكون للهويات التي يتم تجاهلها والأذونات المفرطة والإعدادات التي تم تكوينها بشكل خاطئ عواقب وخيمة - حتى على الرغم من أدوات وإمكانيات اكتشافها والاستجابة المتطورة. يحدد Tenable Identity Exposure الثغرات الأمنية التي يمكن أن تستغلها مثل هذه الهجمات، بما في ذلك:
- اكتشاف عدم تمكين المصادقة الثنائية
- أذونات خطيرة لواجهة برمجة التطبيقات
- تحليل حساب المسؤول
دعونا نستعرض بإيجاز ما حدث.
في حين أن إعلان مايكروسوفت قد حدد العديد من الخطوات المختلفة في الهجوم، إلا أن الهجوم يستغل بعض نقاط الضعف الشائعة جدًا بما في ذلك: ضعف أمان كلمة المرور، وعدم استخدام المصادقة الثنائية، والأذونات الزائدة وأدوار Entra المميزة.
كانت مرحلة الوصول الأولية لهذا الهجوم عبارة عن استخدام كلمات مرور بسيطة، وهي تقنية هجوم يستهدف فيها ممثل التهديد الهويات التي تحتوي على كلمات مرور ضعيفة أو مخترقة. استهدف هذا الهجوم الأولي بيئة غير إنتاجية واتخذت Midnight Blizzard خطوات دقيقة خلال هذه المرحلة لتجنب اكتشافها. كما أوضحت مايكروسوفت: "صمم المهاجم هجمات استخدام كلمات المرور الخاصة به على عدد محدود من الحسابات، باستخدام عدد قليل من المحاولات لتجنب اكتشافه (...) ومواصلة إطلاق هذه الهجمات من حساب بنيةوكيل سكني موزع (...) لم يتم تمكين المصادقة الثنائية به".
وجود مصادقة ثنائية على هذا الحساب، على الرغم من كونه ليس حسابًا إنتاجيًا، كان من الممكن أن يمنع هجوم استخدام كلمات المرور من الوصول إلى هدفه النهائي. وعلى الأقل، كان من الممكن أن يجعل من الصعب نجاح استخدام كلمات المرور، وبالتالي يسهل اكتشافه.
وبعد ذلك، انتقل المهاجمون من بيئة الاختبار إلى بيئة إنتاج الشركة من خلال استغلال أذونات واجهة برمجة التطبيقات الرسومية (Graph API) الزائدة. وعلى الرغم من أن التطبيق تم تسجيله في مستأجر اختبار مايكروسوفت، إلا أن هويته المقابلة مُنحت أذونات Graph API الخطيرة في مستأجر إنتاج الشركة.
تمكن المهاجمون من الوصول إلى صناديق البريد الخاصة بالمديرين التنفيذيين الرئيسيين لشركة Microsoft لأكثر من شهرين.
وقد سمح ذلك لممثل التهديد باختراق تسجيل التطبيق والانتقال إلى مستأجر الإنتاج عبر هوية الخدمة المقابلة. وبعد الوصول إلى بيئة شركة مايكروسوفت، قاموا في النهاية بمنح إذن بواجهة برمجة التطبيقات "full_access_as_app" الخاص بـ Office 365 Exchange Online للتطبيقات الضارة الجديدة التي قاموا بإنشائها، مما سمح لهم بالوصول إلى صناديق البريد التنفيذية الرئيسية لأكثر من شهرين.
وغالبًا ما تمنح أذونات واجهة برمجة التطبيقات (API) إمكانية الوصول مع نتائج معقدة لفك تشفيرها، ومن المعروف أن واجهة برمجة التطبيقات الرسومية من مايكروسوفت (Microsoft Graph API) يصعب فهمها. وربما وقعت مايكروسوفت نفسها ضحية لهذا التعقيد. من الواضح أن هذا النقص في أمان الهوية هو شيء استغله ممثل التهديد للتسلل إلى بيئة إنتاج مايكروسوفت والوصول إلى مراسلات الشركة الحساسة.
إن الحاجة إلى التقييم المستمر وفهم مخاطر الهوية من أجل تنفيذ عمليات العلاج بذكاء وتقليل سطح الهجوم قبل حدوث الهجوم أصبحت أمرًا ضروريًا. وعلى الرغم من أن مايكروسوفت تقدم العديد من الأدوات والخدمات لاكتشاف الهجمات وتعطيلها، إلا أن الانتهاكات المعقدة غالبًا ما تؤدي إلى عمليات مراقبة صغيرة داخل حساب أو إذن واحد. ويتفاقم التحدي المتمثل في الحد من سطح الهجوم على الهويات بشكل وقائي بسبب طبيعته المتغيرة باستمرار ويتطلب التحقق المستمر من المخاطر.
يعمل Tenable Identity Exposure على التحقق من صحة الوضع الأمني لأنظمة هوية مايكروسوفت ويعطي الأولوية للهويات والأذونات والتكوينات المحفوفة بالمخاطر لتقليل سطح الهجوم على الفور.
تُوفر Tenable أربعة مؤشرات محددة للتعرض لمخاطر (IoEs) للمساعدة في منع هذه الأنواع من الهجمات. ويتيح مؤشرين من مؤشرات التعرض للمخاطر في Identity Exposure للعملاء تحديد الحسابات المعرضة للخطر بسبب نقص المصادقة الثنائية. تكشف مؤشرات التعرض للمخاطر حسابات Microsoft Entra ID التي لا تمتلك أي طريقة مسجلة للمصادقة الثنائية، والتي غالبًا ما يتم استغلالها في هجمات اختراق كلمة المرور:
- عدم تمكين المصادقة الثنائية لحساب لديه امتيازات
- عدم تمكين المصادقة الثنائية لحساب ليس لديه امتيازات
يحتوي Identity Exposure أيضًا على اثنين من مؤشرات التعرض للمخاطر يكتشفان ويحللان أدوار Microsoft Entra الخطيرة وأذونات Microsoft Graph API بحيث يمكن التخلص من نواقل الهجوم هذه قبل حدوث الهجوم:
- أذونات واجهة برمجة التطبيقات (API) الخطيرة التي تؤثر على المستأجر
- ارتفاع عدد المسؤولين
ومع تمكين هذه المءشرات، يتحقق Identity Exposure باستمرار من صحة العديد من الجوانب المهمة والتي غالبًا ما يتم تجاهلها في أنظمة هوية مايكروسوفت. تكشف Tenable أيضًا عن الهويات الأكثر خطورة وتوفر إرشادات خطوة بخطوة من أجل إجراء المعالجة. تُعد التكتيكات التي تستخدمها Midnight Blizzard مثالًا رئيسيًا على أنواع مخاطر الهوية ومسارات الهجوم التي يمكن أن يساعد Tenable Identity Exposure في القضاء عليها لمنع التعرض لهجوم ناجح.
لمزيد من المعلومات حول كيفية مساعدة Tenable Identity Exposure في تقليل سطح الهجوم لبيئة هوية مايكروسوفت الخاصة بك، يرجى طلب عرض توضيحي أو نزيل ورقة بيانات Identity Exposure.
مقالات ذات صلة
Cybersecurity Snapshot: CISA Shines Light on Cloud Security and on Hybrid IAM Systems’ Integration
March 15, 2024Check out CISA’s latest best practices for protecting cloud environments, and for securely integrating on-prem and cloud IAM systems. Plus, catch up on the ongoing Midnight Blizzard attack against Microsoft. And don’t miss the latest CIS Benchmarks. And much more!
Cybersecurity Snapshot: What’s in Store for 2024 in Cyberland? Check Out Tenable Experts’ Predictions for OT Security, AI, Cloud Security, IAM and more
December 29, 2023The new year is upon us, and so we ponder the question: What cybersecurity trends will shape 2024? To find out, we asked Tenable experts to read the tea leaves. Their 2024 forecasts include: A bigger security role for cloud architects; a focus by ransomware gangs on OT systems in critical industries; an intensification of IAM attacks; and much more!
Identities: The Connective Tissue for Security in the Cloud
November 27, 2023Almost everything in the cloud is one excess privilege or misconfiguration away from exposure. Proper cloud posture and entitlement management can help mitigate risk and eliminate toxic combinations.
Microsoft’s June 2024 Patch Tuesday Addresses 49 CVEs
June 11, 2024Microsoft addresses 49 CVEs in its June 2024 Patch Tuesday release with one rated as critical and no zero-day or publicly disclosed vulnerabilities. Our counts omitted two CVEs that were not issued by Microsoft, which include CVE-2023-50868 (issued by MITRE) and CVE-2024-29187 (issued by GitHub).
Cloud Workload Protection: The Key to Decreasing Cloud Security Risks
June 11, 2024More than 80% of all breaches involve data stored in the cloud, and security teams that don’t use cloud workload protection (CWP) may never get ahead of attackers who want to access as much data as possible with the least effort. A single cloud breach is often the most straightforward way into these sensitive environments. On average, it costs nearly $5 million to respond and recover. So, why are so many organizations still using traditional on-prem security that isn't designed for the dynamic cloud?
CVE-2024-4577: Proof of Concept Available for PHP-CGI Argument Injection Vulnerability
June 7, 2024Researchers disclose a critical severity vulnerability affecting PHP installations and provide proof-of-concept exploit code, which could lead to remote code execution.
- Active Directory
- Active Directory