عندما يرتدّ الدرع: انهيار مكافحة التصيّد لدى مايكروسوفت يحجب رسائل شرعية

العنوان الفرعي: خلل برمجي في دفاعات البريد الإلكتروني لدى مايكروسوفت حرم آلاف المستخدمين من الوصول إلى رسائل حاسمة وبثّ الارتباك في بيئة العمل الرقمية.

بدأ الأمر كصباح اثنين اعتيادي لكثير من مستخدمي Microsoft Exchange وTeams - إلى أن خيّم صمت مريب على صناديق الوارد. اختفت الرسائل، تعطّلت الروابط، وتعالت جوقة من الإنذارات الكاذبة تحذّر من هجمات تصيّد وهمية. ما حدث لم يكن هجومًا سيبرانيًا، بل جرحًا ذاتيًا: دفاعات مايكروسوفت نفسها ضد التصيّد انقلبت على المستخدمين الذين وُجدت لحمايتهم.

حقائق سريعة

بدأت الحادثة في 5 فبراير واستمرت حتى 12 فبراير، مؤثرةً على مستخدمي Exchange Online وTeams عالميًا.
خطأ منطقي في نظام الكشف الاستدلالي لدى مايكروسوفت صنّف آلاف عناوين URL الآمنة على أنها تهديدات تصيّد.
تمت حجر رسائل بريد إلكتروني ورسائل Teams شرعية أو حذفها، ما ترك المستخدمين بلا معلومات حيوية.
انهالت تنبيهات أمنية إيجابية كاذبة على المسؤولين، ما زاد الارتباك وجهود الاستجابة.
سبق لأدوات أمنية أخرى لدى مايكروسوفت أن صنّفت أو حجبت اتصالات شرعية بالخطأ في السنوات الأخيرة.

تشريح كارثة رقمية

بدأت الفوضى بهدوء: طرح فريق أمن مايكروسوفت تحديثًا لمحرك الكشف الاستدلالي لديهم، بهدف رصد حملات تصيّد متقدمة لسرقة بيانات الاعتماد. لكن خلال ساعات، بدأ النظام يسيء وسم آلاف عناوين URL غير الضارة على أنها خبيثة. ومع انتشار المنطق المعيب عبر دفاعات مايكروسوفت المؤتمتة، جرى سحب رسائل بريد إلكتروني ورسائل Teams بريئة إلى الحجر أو حُذفت بالكامل.

ولقرابة أسبوع، هرع المستخدمون والمسؤولون على حد سواء لفهم سبب حجب الاتصالات الشرعية. تلقّى بعضهم تنبيهات مقلقة تفيد بأنه “تم اكتشاف نقرة على عنوان URL يحتمل أن يكون خبيثًا”. لكن الحقيقة أنها كانت إيجابيات كاذبة - أشباحًا استحضرها خوارزم مفرط الحماسة خرج عن مساره.

المسبب التقني: خطأ منطقي في مجموعة قواعد كشف نُشرت حديثًا. فبدلًا من اصطياد الروابط المشبوهة فقط، بدأ النظام يرمي شبكة أوسع بكثير، فوقع فيها عناوين URL آمنة وتسبّب ذلك في سلسلة من الاستجابات المؤتمتة. وزادت طبقات أمنية أخرى الطين بلة، إذ ضاعفت عدد الإيجابيات الكاذبة وجعلت التعافي أكثر تعقيدًا. وفوق ذلك، أبطأ خلل منفصل في أنظمة تواقيع الأمان لدى مايكروسوفت عملية التراجع عن القواعد الإشكالية، ما أطال أمد الانقطاع.

لم تكشف مايكروسوفت بعد عن العدد الدقيق للمستخدمين المتضررين، لكن حجم التأثير كان كبيرًا بما يكفي لتصنيف الحدث على أنه “حادثة” - وهو توصيف يُحجز للمشكلات ذات الأثر الواسع على المستخدمين. وتأتي هذه الحلقة ضمن نمط من تعثّر أدوات أمن مايكروسوفت، مع حوادث حديثة شملت تصنيف البريد المزعج خطأً، وحجر رسائل بريد إلكتروني، وحتى أنظمة ذكاء اصطناعي أساءت التعامل مع اتصالات سرية.

دروس في الثقة الرقمية

وبينما تستعد مايكروسوفت لإصدار تقريرها النهائي، تطرح الحادثة أسئلة غير مريحة حول موثوقية أنظمة الأمان المؤتمتة. ففي سباق التفوق على مجرمي الإنترنت، قد ترتدّ حتى أفضل الدفاعات نيةً - فتغلق الباب في وجه من صُممت لحمايتهم. وبالنسبة للمستخدمين وفرق تقنية المعلومات، فهي تذكير صارخ: يجب أن تمتد اليقظة الرقمية إلى الأدوات نفسها، لا إلى التهديدات الكامنة خلف الجدار الناري فحسب.

WIKICROOK

الكشف الاستدلالي: يحلل الكشف الاستدلالي السلوك والأنماط للتعرّف على التهديدات غير المعروفة، موفّرًا حماية إضافية تتجاوز أساليب الأمن السيبراني التقليدية المعتمدة على التواقيع.
تصيّد بيانات الاعتماد: تصيّد بيانات الاعتماد هو هجوم سيبراني ينتحل فيه المهاجمون مواقع موثوقة لسرقة أسماء المستخدمين أو كلمات المرور أو معلومات تسجيل الدخول الحساسة من مستخدمين غير منتبهين.
إيجابي كاذب: يحدث الإيجابي الكاذب عندما تُصنّف أداة أمنية ملفًا أو إجراءً آمنًا على أنه تهديد بالخطأ، ما يسبب تنبيهات أو حظرًا غير ضروريين.
الحجر (أمن البريد الإلكتروني): يعزل الحجر رسائل البريد الإلكتروني المشبوهة، مانعًا وصول التهديدات إلى صناديق الوارد ومتيحًا المراجعة قبل التسليم لضمان سلامة المستخدم.
توقيع أمني: التوقيع الأمني هو مُعرّف رقمي تستخدمه أدوات الأمن السيبراني للتعرّف على التهديدات المعروفة وحظرها استنادًا إلى أنماط أو سلوكيات فريدة.