تجاوز الوصول المشروط في Azure AD: تهديد جديد للهويات السحابية
في عالم يتزايد فيه الاعتماد على الخدمات السحابية، أصبحت حماية الهوية الرقمية حجر الزاوية في الأمن السيبراني للمؤسسات. ويعتمد Microsoft Entra ID، المعروف سابقًا باسم Azure AD، بشكل كبير على ميزة الوصول المشروط (Conditional Access) كحارس بوابة أساسي لضمان أن المستخدمين والأجهزة يتوافقون مع سياسات الأمان قبل منحهم الوصول. ومع ذلك، كشفت عملية اختبار اختراق موثقة أجرتها شركة Howler Cell مؤخرًا عن مسار هجوم حاسم يتجاوز هذه الحماية الحيوية بشكل كامل، مما يلقي الضوء على ثغرات خطيرة في نماذج الثقة بالجهاز داخل البيئات المختلطة.
دور الوصول المشروط في أمن الهوية السحابية
يشكل الوصول المشروط في Microsoft Entra ID درعًا دفاعيًا حيويًا، حيث يقوم بتقييم العوامل المختلفة مثل موقع المستخدم، ومستوى المخاطر، وصحة الجهاز قبل السماح بالوصول إلى الموارد. هذه السياسات مصممة لمنع الوصول غير المصرح به حتى لو تم اختراق بيانات الاعتماد. ولكن التحدي الأخير أظهر أن هذه الحماية، رغم أهميتها، يمكن أن تكون عرضة للاختراق من قبل المهاجمين المتطورين. وقد قامت Howler Cell، وهي فرقة حمراء متخصصة في الأمن السيبراني، باختبار هذه الحماية وكشفت عن طريقة يمكن من خلالها للمهاجمين تجاوزها تمامًا، حتى مع وجود حسابات تم حظرها صراحةً بواسطة سياسات الوصول المشروط.
تفاصيل الهجوم: كيف تم تجاوز الحماية؟
بدأت عملية الاختراق باستخدام مجموعة واحدة من بيانات الاعتماد الصالحة، والتي يمكن شراؤها بسهولة بضع مئات من الدولارات في أسواق الجريمة الإلكترونية. نجح الباحثون في اختراق مستأجر إنتاجي يضم أكثر من 16,000 مستخدم. اللافت في هذا الهجوم أنه لم يتطلب أي تفاعل مع نقاط النهاية الخاصة بالشركة ولم يتم نشر أي برامج ضارة، مما يؤكد على الثغرات الخطيرة في التسجيل الافتراضي للجهاز والتحقق من الامتثال. عكست هذه العملية عن كثب التكتيكات الواقعية التي يستخدمها فاعلون مهددون مثل Storm-2372، وهي جماعة يُشتبه في أنها مدعومة من دولة روسية، مما يبرهن على أن بيانات الاعتماد المحظورة ليست طريقًا مسدودًا للمهاجمين المتطورين.
تسجيل الجهاز الوهمي وإساءة استخدام رمز التحديث الأساسي (PRT)
وفقًا لبحث Howler Cell الشامل، بدأت العملية ببيانات اعتماد صالحة تم حظرها صراحةً بواسطة سياسة الوصول المشروط، مما أدى إلى ظهور خطأ AADSTS53003. لتجاوز هذا، استهدف الباحثون نقطة نهاية خدمة تسجيل الأجهزة (DRS) باستخدام تدفق مصادقة رمز الجهاز، وهو مسار ترك مفتوحًا بسبب سياسات الأمان غير المفروضة. هذا سمح لهم بالمصادقة بنجاح والانتقال إلى المرحلة التالية من الهجوم.
باستخدام أمر واحد، قام فريق Howler Cell بتسجيل جهاز وهمي (phantom device) بشهادة Azure AD موقعة ومفتاح خاص. لا تتحقق واجهة برمجة تطبيقات DRS مما إذا كان المتصل جهاز Windows فعليًا، مما يسمح لجهاز كمبيوتر محمول يعمل بنظام Linux بالتظاهر بأنه نقطة نهاية مشروعة. استغلّت هذه الخطوة تقنية MITRE ATT&CK لتلاعب الحساب (T1098.005).
مع تسجيل الجهاز الوهمي، قام الباحثون بإنشاء رمز تحديث أساسي (PRT) يحتوي على ادعاءات جهاز مزيفة. عندما تم تبادل هذا الرمز للحصول على رمز وصول، قرر Azure AD أن الجلسة تمت مصادقتها بواسطة الجهاز. أدى هذا إلى تجاوز سياسات الوصول المشروط التي تتطلب جهازًا متوافقًا أو منضمًا بالكامل، مما منح الوصول إلى بيئة المستأجر الأوسع لتعداد الدليل.
تجاوز قيود Intune
لتجاوز السياسات التي تتطلب بشكل صارم جهازًا متوافقًا مع Intune، استغل الباحثون ثغرة معروفة في قيود تسجيل Intune. من خلال المطالبة بحالة الانضمام الهجين للنطاق (hybrid domain-join status)، تجاوز الجهاز الوهمي متطلبات التسجيل المسبق. وثق Intune في عضوية النطاق المعلنة ذاتيًا للعميل دون التحقق منها مقابل Active Directory المحلي. بمجرد تسجيل الجهاز، حقق الامتثال على الرغم من افتقاره إلى BitLocker أو Secure Boot أو برنامج مكافحة الفيروسات. تعامل منطق تقييم Intune مع استجابات التحقق من سلامة الجهاز المفقودة على أنها "غير قابلة للتطبيق" بدلاً من عدم الامتثال. سمح هذا الموقف الافتراضي المتساهل للباحثين بتنزيل تطبيقات المؤسسات الداخلية، وكشف استخراج حزمة واحدة عن اتفاقيات تسمية الخوادم الداخلية الحرجة وبنية الشبكة.
المخاطر الهيكلية في بيئات الهوية المختلطة
بصرف النظر عن انتحال الجهاز، حدد الباحث Howler Cell من Cyderes مخاطر هيكلية في بيئات الهوية المختلطة. اكتشفوا 255 دورًا دليلًا عالي الامتياز، بما في ذلك العديد من المسؤولين العامين (Global Administrators)، تمت مزامنتها مباشرة من Active Directory المحلي. يوفر اختراق هذه الحسابات المحلية للمهاجمين مسارًا مباشرًا للسيطرة الكاملة على المستأجر السحابي دون الحاجة إلى أي استغلالات خاصة بالسحابة. هذه النقطة تبرز الترابط الخطير بين البنية التحتية المحلية والسحابية، حيث يمكن لضعف في أحدهما أن يؤدي إلى اختراق الآخر بالكامل.
توصيات للحماية والتخفيف
للدفاع ضد سلاسل الهجوم المعقدة هذه، يجب على المؤسسات تعزيز نماذج الثقة بالجهاز لديها وتطبيق سياسات أمان صارمة. تشمل التوصيات الرئيسية ما يلي:
- تطبيق سياسات الوصول المشروط في وضع التقارير فقط: استخدام سياسات الوصول المشروط التي تحظر تدفقات رمز الجهاز وتتطلب المصادقة متعددة العوامل (MFA) لتسجيل الجهاز. هذا يسمح بمراقبة تأثير السياسات قبل فرضها بشكل كامل.
- فرض التحقق من صحة TPM 2.0: جعل التحقق من صحة TPM 2.0 شرطًا مسبقًا صارمًا لجميع عمليات إصدار رمز التحديث الأساسي (PRT)، مما يضمن أن الجهاز موثوق به على مستوى الأجهزة.
- التحقق الخارجي من صحة الجهاز: المطالبة بالتحقق الخارجي من صحة الجهاز عبر خدمة Microsoft Health Attestation بدلاً من الاعتماد على البيانات المبلغ عنها ذاتيًا من الجهاز.
- تحديد نطاق الوصول إلى Graph API: تقييد الوصول على مستوى المستخدم إلى Graph API لمنع تعداد الدليل بشكل كبير وغير مصرح به.
- تقييد أدوار الدليل المتميزة: قصر أدوار الدليل المتميزة بشكل حصري على الحسابات السحابية فقط التي تتم إدارتها من خلال إدارة الهوية المميزة (Privileged Identity Management - PIM).
ماذا يعني هذا لك؟
هذا الكشف يؤكد بشكل قاطع أن الاعتماد الكلي على سياسات الوصول المشروط وحدها لا يكفي لضمان الأمن في البيئات السحابية المختلطة. يجب على مديري الأمن السيبراني وفرق تكنولوجيا المعلومات إدراك أن المهاجمين يبحثون باستمرار عن نقاط ضعف في الثقة بين الأنظمة. يعني ذلك ضرورة إجراء تقييمات دورية شاملة للبنية التحتية للهوية، لا سيما العلاقة بين Active Directory المحلي وMicrosoft Entra ID.
يجب على المؤسسات تحديث سياسات الأمان الخاصة بها لتشمل التحقق الصارم من صحة الأجهزة، وفرض المصادقة متعددة العوامل في كل مكان ممكن، وتطبيق مبدأ الامتيازات الأقل. الاستثمار في حلول المراقبة والكشف المتقدمة سيساعد في تحديد السلوكيات الشاذة التي قد تشير إلى محاولات تجاوز الأمان. باختصار، يتطلب الأمر نهجًا متعدد الطبقات ومتجددًا باستمرار لمواجهة التهديدات المتطورة التي تستهدف الهوية كهدف رئيسي.
الخاتمة
تبرز دراسة Howler Cell حالة خطيرة تؤكد على التعقيد المتزايد للهجمات السيبرانية وقدرتها على استغلال الثغرات في الأنظمة الأساسية للأمان. وبينما تظل ميزة الوصول المشروط في Azure AD أداة قوية، فإن هذا البحث يكشف عن الحاجة الملحة للمؤسسات إلى إعادة تقييم نماذج الثقة بالجهاز، وتعزيز عمليات التسجيل، والتحقق من صحة الأجهزة بشكل صارم. الأمن السيبراني ليس نقطة وصول، بل هو عملية مستمرة تتطلب يقظة وتكيفًا دائمين لمواجهة التحديات المتجددة في المشهد الرقمي.
المراجع:
accounts.google.com
news.google.com
