ثغرات OAuth تسمح بانتهاك Microsoft 365 كاملاً

ثغرتان متوسطتا الخطورة في Microsoft 365 - نقطة نهاية API بريدية غير آمنة ورسائل خطأ مفصلة تكشف رموز OAuth - تتحالفان لمنح المهاجمين وصولاً مصدقاً كاملاً. يبرز الباحثون الأمنيون كيف توجه التصيدات الاحتيالية المستخدمين إلى تدفقات ضارة، مستغلة هذه الثغرات لسرقة الرموز والدخول الدائم إلى البيئات المؤسسية.

يبدأ المهاجمون بالتصيد للحصول على وصول أولي مصدق. يستهدفون نقطة نهاية API البريدية غير المحمية بشكل كافٍ. ثم تكشف رسائل الخطأ المفصلة رموز OAuth صالحة لـ Microsoft Graph APIs. توفر هذه الرموز وصولاً مباشراً إلى البريد والملفات وخدمات أخرى دون مصادقة إضافية.

• يمنح التصيد وصولاً محدوداً إلى API البريد.
• تكشف رسائل الخطأ رموز OAuth فعالة.
• تمكن الرموز من عمليات واسعة في Microsoft 365، متجاوزة MFA.

يحاكي هذا السلسلة اتجاهات إساءة استخدام OAuth الأوسع. ينتحل المهاجمون تطبيقات شرعية مثل SharePoint أو DocuSign، مستخدمين تسجيلات OAuth مزيفة لسرقة بيانات الاعتماد عبر أدوات تصيد MFA مثل Tycoon.

تتبعت Proofpoint حملات منذ أوائل 2025 تنتحل الشركات بتطبيقات OAuth مزيفة. هذه أثرت على نحو 3000 حساب عبر 900+ بيئة Microsoft 365، بنسبة نجاح تزيد عن 50%. لاحظت Microsoft ممثلين ينشئون تطبيقات OAuth عالية الامتياز بعد الاختراق لتعدين العملات، استمرار BEC، وتصيد جماعي - إرسال أكثر من 927 ألف بريد ضار في حملة 2023 واحدة.

تقنيات متقدمة مثل ConsentFix تستغل تدفقات رموز التفويض OAuth في Microsoft Entra ID. يصيد المهاجمون المستخدمين لمشاركة URIs تحتوي رموزاً، قابلة للاستبدال برموز حاملة خلال 10 دقائق، متجاوزة MFA وسرقة كلمات المرور. تصيد رموز الجهاز يخدع المستخدمين لإدخال الرموز في روابط التحقق، مانحاً وصولاً دائماً.

يُدار OAuth، المعيار للتفويض المفوض، تكاملات التطبيقات في Microsoft 365. تنبع الإساءة من ضعف ضوابط الموافقة والثقة الضمنية في التدفقات الأولية. سجل Storm-1286 تطبيقات مزيفة تحاكي الخدمات، مما مكن البريد المزعج والتعدين دون كشف لأشهر.

ردت Microsoft بتحديثات يونيو 2025 تحظر المصادقة القديمة وتطالب موافقة إدارية لتطبيقات الطرف الثالث، بدءاً من يوليو-أغسطس 2025. قضت الشركة على تطبيقات ضارة في حملات سابقة وأصلحت مشكلات غير مرتبطة مثل CVE-2026-21509 في Office.

تؤدي الانتهاكات الناجحة إلى استخراج البيانات، الحركة الجانبية، والهجمات اللاحقة. يعزز استهداف الامتيازات العالية المخاطر عبر Azure والتطبيقات SaaS وMicrosoft 365. حتى المستخدمون العاديون يكشفون البريد والملفات. يمد التنقل بالرموز، كما في Midnight Blizzard، الوصول عبر التكاملات المتصلة.

تواجه المنظمات صعوبة كشف هذه، إذ تحاكي الهجمات التدفقات الشرعية. الرؤية الشاملة للهوية والـ SaaS والسحابة أساسية خارج الوقاية التقليدية.

• فرض أقل الامتيازات لموافقات التطبيقات؛ طلب موافقة إدارية.
• مراقبة تسجيلات تطبيقات OAuth واستخدام الرموز الشاذ.
• تعطيل المصادقة القديمة؛ تفعيل MFA مقاومة للتصيد مثل passkeys.
• مراجعة قواعد البريد وقوائم الأخطاء لتسريبات الرموز.
• استخدام أدوات تتبع رموز الجهاز والتدفقات التفويضية.

اعتماد إعدادات Microsoft 2025 يقلل المخاطر بشكل كبير. تدقيق منتظم لنقاط API وتفصيل الأخطاء يمنع تسلسل الاستغلال. يجب على المؤسسات إعطاء الأولوية لحوكمة OAuth وسط تصاعد التهديدات القائمة على الرموز.