تصعيد الهجمات على حسابات مايكروسوفت 365 عبر آليات OAuth وتدفق رمز الجهاز
يرتفع نشاط الهجمات الإلكترونية التي تستهدف حسابات مايكروسوفت 365 عبر استغلال ميزات المصادقة الرسمية من مايكروسوفت، حيث تتجاوز الهجمات المصادقة متعددة العوامل (MFA) دون الحاجة لسرقة كلمات المرور أو الرموز المؤقتة، من خلال خداع المستخدمين للموافقة بأنفسهم على منح صلاحيات الوصول.
تستهدف الهجمات استخدام تدفق رمز الجهاز في بروتوكول OAuth 2.0 المصمم للأجهزة ذات إمكانيات الإدخال المحدودة، مثل التلفزيونات الذكية وأجهزة إنترنت الأشياء، وتتضمن رسائل تصيّد أو رسائل مراسلة تحتوي روابط أو رموز QR، وعند الضغط يظهر للمستخدم رمز جهاز مزيف يتم إدخاله في صفحة تسجيل دخول مايكروسوفت الرسمية.
بمجرد إدخال الرمز، تمنح مايكروسوفت دون قصد رمز وصول OAuth لتطبيق يتحكم فيه المهاجم، فيمنح الوصول إلى حساب Microsoft 365 فورًا، مع أن الدخول يبدو كأنه عبر نطاق رسمي، وهو ما يجعل كاشفات التصيّد التقليدية تقصر في رصد الهجوم.
تتيح هذه الطريقة للمهاجمين سرقة البيانات والتنقل بين أنظمة الشركة والحفاظ على وصول طويل الأمد، وفي بعض الحالات تستخدم هذه النفاذات لاحقًا في ابتزاز الضحايا.
أشارت Proofpoint إلى وجود مجموعات تهديد تستخدم هذا الأسلوب، منها مجموعات ذات دوافع مالية مثل TA2723 التي تعتمد رسائل خداع حول تحديثات الرواتب أو إشعارات مزايا وظيفية أو مشاركة مستندات.
وكشفت الشركة عن نشاط يشير إلى وجود جهات يعتقد أنها مرتبطة بروسيا، وتدعى UNK_AcademicFlare، التي تستخدم حسابات بريد حكومية وعسكرية مخترقة لبناء الثقة قبل شن حملات تستهدف قطاعات حكومية وأكاديمية وقطاع النقل في الولايات المتحدة وأوروبا.
ساهم في انتشار هذه الهجمات توافر أدوات تصيّد جاهزة مثل SquarePhish2 وGraphish، فـ SquarePhish2 يسهّل أتمتة تفويض الأجهزة باستخدام OAuth، ويركز غالبًا على رموز QR، بينما Graphish يمكّن من تنفيذ هجمات تصيّد عبر تسجيل تطبيقات على منصة Azure واستخدام تقنيات “الخصم في المنتصف”.
ووصفت Proofpoint الأسلوب بأنه تطور خطير وغير معتاد، فالمهاجمون لم يعودوا يحاولون اختراق MFA بل يستغلون آليات المصادقة نفسها، وهو ما يجعل الهجمات أكثر تعقيدًا وصعوبة في الكشف.
تنصح المؤسسات بتقييد أو تعطيل استخدام ميزة مصادقة رمز الجهاز عبر سياسات الوصول المشروطة، ومراقبة نشاط OAuth بدقة، وتدريب الموظفين على عدم إدخال أي رموز تحقق مطلوبة حتى لو ظهرت في صفحات تسجيل دخول رسمية.
