أعلنت Proofpoint عن زيادة ملحوظة في الهجمات التي تستهدف حسابات Microsoft 365 عبر استغلال آليات المصادقة الرسمية والمشروعة التابعة لمايكروسوفت. تركز هذه الهجمات على تجاوز إجراءات المصادقة من خلال دفع المستخدمين للموافقة بأنفسهم على منح صلاحيات الوصول دون الحاجة إلى سرقة كلمات المرور أو الرموز المؤقتة. تعتمد الأساليب على خداع الضحايا عبر رسائل بريد إلكتروني أو تطبيقات محادثة تدعي وجود حاجة عاجلة للتحقق من الحساب أو الاطلاع على مستندات أو إجراء فحص أمني. تتجاوز هذه الهجمات في بعض الحالات طبقة MFA وتستغل آلية تدفق رمز الجهاز في OAuth 2.0 لتوفير وصول فوري إلى الحساب.
آلية الهجوم وتجاوز المصادقة
تشير التحليلات إلى أن المهاجمين يستغلون آلية تدفق رمز الجهاز في بروتوكول OAuth 2.0 المصمم للأجهزة ذات إمكانات الإدخال المحدودة. يتلقى الضحايا رسائل تحتوي روابط أو رموز استجابة سريعة QR Code، وعند الضغط يعرض على المستخدم رمز جهاز يوهم بأنه رمز تحقق مؤقت، مع توجيهه لإدخاله في صفحة تسجيل الدخول الرسمية الخاصة بمايكروسوفت. بمجرد إدخال الرمز، تحصل الجهة المهاجمة على OAuth Access Token يمنحها وصولًا فوريًا إلى حساب الضحية. تُنفذ عملية الدخول عبر نطاق رسمي تابع لمايكروسوفت، وهو ما يجعل بعض أدوات كشف التصيّد الإلكتروني تفشل في رصد الهجوم.
يتيح ذلك للمهاجمين الوصول إلى البيانات والتنقل بين أنظمة المؤسسة والحفاظ على وصول طويل الأمد، وفي بعض الحالات يُستخدم الوصول لاحقًا في ابتزاز الضحايا. رصدت Proofpoint وجود مجموعات تهديد متعددة، منها مجموعات ذات دوافع مالية مثل TA2723، وأخرى مرتبطة بجهات دولية وتُتابعها تحت اسم UNK_AcademicFlare. كما لاحظت الشركة أن الهجمات تستفيد من أدوات تصيّد جاهزة مثل SquarePhish2 وGraphish، حيث تعمل SquarePhish2 على أتمتة تفويض الأجهزة باستخدام OAuth وتستخدم غالبًا رموز QR. وتتيح Graphish تنفيذ هجمات تصيّد عبر تسجيل تطبيقات على منصة Azure واستخدام تقنيات “الخصم في الوسط.”
الإجراءات الوقائية والتدابير
تنصح Proofpoint المؤسسات بتقييد أو تعطيل استخدام ميزة مصادقة رمز الجهاز عبر سياسات الوصول المشروط ومراقبة نشاط OAuth بشكل دقيق. كما توصي بتدريب الموظفين على عدم إدخال رموز تحقق غير مطلوبة حتى لو ظهرت على صفحات تسجيل الدخول الرسمية. وينبغي الحد من استخدام تطبيقات OAuth غير المصرح بها ومراقبة أي نشاط يثير الشك بشكل مستمر. وتؤكد الشركة أن الهجمات تتطور وتستهدف آليات المصادقة نفسها لا كسرها، مما يجعل رصدها أكثر صعوبة وتعقيدًا.
