كيف أصبح ChatGPT شريكًا غير مقصود في هجمات البريد الإلكتروني على Microsoft Entra ID

ثغرات OAuth في Entra ID تتيح للمهاجمين التسلل متجاوزين الدفاعات - وأحيانًا باستخدام أدوات ذكاء اصطناعي موثوقة كمفاتيح لصندوق بريدك.

يبدو الأمر كحبكة فيلم تشويق سيبراني: قراصنة يتجاوزون المصادقة متعددة العوامل ويتسللون دون اكتشاف إلى حسابات البريد الإلكتروني السحابية - ليس بالقوة الغاشمة، بل بإقناع المستخدمين بتسليم المفاتيح بأنفسهم. المفارقة؟ سلاحهم المفضل ليس برمجيات خبيثة، بل تطبيق ذكاء اصطناعي موثوق مثل ChatGPT، يُساء استخدامه عبر ثغرات OAuth دقيقة في منصة Microsoft Entra ID.

حقائق سريعة

يستغل المهاجمون تدفقات «الموافقة» في OAuth ضمن Microsoft Entra ID للحصول على وصول دائم إلى صناديق بريد المستخدمين.
حتى التطبيقات الشرعية مثل ChatGPT يمكن أن تصبح مسارات للهجوم إذا مُنحت أذونات محفوفة بالمخاطر (مثل Mail.Read).
التصيد أو الهندسة الاجتماعية يخدعان المستخدمين للموافقة على شاشات الإذن التي تمنح وصولًا إلى صندوق البريد بصمت.
هجمات OAuth يمكن أن تتجاوز MFA وتنبيهات تسجيل الدخول القياسية لأنها تعتمد على رموز API صالحة.
الدفاع الأساسي: مراقبة منح الموافقة من غير المسؤولين لتطبيقات طرف ثالث جديدة تطلب نطاقات حساسة.

تشريح هجوم الموافقة

في سيناريو نموذجي رصده باحثو التهديدات، يُطلب من مستخدم داخل مستأجر Microsoft Entra ID - غالبًا عبر موقع تصيد أو رسالة هندسة اجتماعية مقنعة - منح أذونات لتطبيق طرف ثالث. قد يكون التطبيق هو ChatGPT، لكن الخطر الحقيقي لا يكمن في التطبيق نفسه، بل في الأذونات التي يحصل عليها بهدوء. عندما يوافق المستخدم على نطاقات مثل Mail.Read أو offline_access، يكتسب التطبيق وصولًا شرعيًا ومستمرًا عبر واجهات API إلى صندوق بريد المستخدم - من دون كلمة مرور أو مطالبة بتسجيل الدخول.

تكشف سجلات التدقيق في Entra ID نمطًا متكررًا: تتم إضافة كيان خدمة جديد (التطبيق)، يتبعه حدث موافقة من مستخدم غير مسؤول. يفضّل المهاجمون استهداف المستخدمين العاديين، متجاوزين ضوابط المسؤول الأكثر صرامة. وبمجرد منح الوصول، يمكن للجهات الخبيثة قراءة الرسائل، وجمع البيانات الحساسة، ومراقبة تدفقات إعادة تعيين كلمات المرور، وحتى اختطاف المحادثات - مما يفتح الباب أمام تصيد متقدم وهجمات اختراق البريد الإلكتروني للأعمال (BEC).

ما يجعل هذا الهجوم خبيثًا إلى هذا الحد هو تخفّيه. فبما أن رموز OAuth صالحة وتُستخدم عبر واجهات Microsoft Graph الرسمية، نادرًا ما تُطلق إنذارات الأمان التقليدية. يتم تجاوز المصادقة متعددة العوامل، ولا توجد عمليات تسجيل دخول مريبة - فقط نشاط تطبيق طبيعي يخفي وجود المهاجم.

دليل الدفاع

على المحققين أن يسألوا: من الذي منح الموافقة؟ هل كان التطبيق معتمدًا؟ هل تتوافق الأذونات المطلوبة مع السياسة؟ تعتمد المراقبة الفعّالة على سجلات التدقيق في Entra لربط أحداث الموافقة بتسجيلات التطبيقات، والبحث عن موافقات من غير المسؤولين لتطبيقات طرف ثالث جديدة وغير معروفة - خصوصًا تلك التي تطلب نطاقات عالية المخاطر مثل Mail.Read أو Files.Read.All. كما تساعد دلائل إضافية، مثل عدم تطابق AppOwnerOrganizationId أو ندرة تسجيلات التطبيقات، في تمييز النشاط المشبوه.

عند اكتشاف منح OAuth خبيث، ينبغي لفرق الاستجابة إلغاء منح الإذن المحدد فورًا وإزالة كيان خدمة التطبيق من المستأجر، لقطع الوصول دون فرض إعادة تعيين كلمة المرور. وعلى المدى الطويل، يمكن للمؤسسات تعزيز دفاعاتها عبر تقييد موافقة المستخدمين، والسماح فقط بالتطبيقات الموثقة، واعتماد خطوط أساس الموافقة من Microsoft لحظر النطاقات المحفوفة بالمخاطر لغير المسؤولين.

الخلاصة: في عصر الذكاء الاصطناعي وانتشار SaaS في كل مكان، حتى أكثر الأدوات موثوقية يمكن تسليحها إذا كانت حماية الهوية متراخية. اليقظة المستمرة - ونظرة متشككة إلى كل شاشة موافقة - هما خطوط المواجهة الجديدة لأمن السحابة.

WIKICROOK

OAuth: OAuth هو بروتوكول يتيح للمستخدمين منح التطبيقات وصولًا إلى حساباتهم دون مشاركة كلمات المرور، ما يحسّن الأمان لكنه يطرح أيضًا بعض المخاطر.
Entra ID: Entra ID هي منصة Microsoft السحابية لإدارة الهوية، تُستخدم للتحكم في وصول المستخدمين إلى الموارد السحابية والمحلية. كانت تُعرف سابقًا باسم Azure Active Directory.
Service Principal: كيان الخدمة هو حساب خاص يتيح لتطبيق أو خدمة الوصول بأمان إلى الموارد السحابية بأذونات محددة، بدلًا من استخدام بيانات اعتماد المستخدم.
Scope: النطاق هو مجموعة الأذونات أو الإجراءات التي يمكن لتطبيق أو مستخدم طلبها أو تنفيذها عند الوصول إلى البيانات أو الموارد في نظام ما.
Business Email Compromise (BEC): اختراق البريد الإلكتروني للأعمال (BEC) هو عملية احتيال يقوم فيها المجرمون باختراق أو انتحال بريد إلكتروني تجاري لخداع الشركات لإرسال الأموال إلى حسابات احتيالية.