مختطفة بالتصميم: كيف منح خلل في Microsoft Entra القراصنة مفاتيح مملكة السحابة
العنوان الفرعي: دور إداري مُسيء الإعداد في Microsoft Entra أتاح للمهاجمين الاستيلاء بهدوء على شبكات أعمال كاملة - من دون الحاجة إلى أي مهارات اختراق.
بدأ الأمر كتحقيق روتيني أجرته شركة Silverfort المتخصصة في حماية الهوية - غوص عميق في التفاصيل الدقيقة لمنصة إدارة الذكاء الاصطناعي لدى مايكروسوفت. لكن ما كشفوه لم يكن روتينيًا على الإطلاق: ثغرة صارخة سمحت للمهاجمين المحتملين بالتسلل عبر البوابات والاستيلاء على إمبراطوريات رقمية كاملة، وكل ذلك بفضل ثغرة مُهملة في دور «مسؤول معرّف الوكيل» (Agent ID Administrator) ضمن Microsoft Entra. هذا الاكتشاف أطلق أجراس الإنذار في عالم الأمن السيبراني، كاشفًا مدى السرعة التي يمكن أن يحوّل بها عيبٌ في التصميم ميزةً أمنية إلى بابٍ خلفي صامت.
تشريح استيلاء صامت
منصة Entra من مايكروسوفت، المصممة لتبسيط إدارة الهوية والوصول لكلٍ من البشر ووكلاء الذكاء الاصطناعي، قدّمت نوعًا جديدًا من الهوية الرقمية: «معرّفات الوكلاء» (Agent IDs). وللإشراف عليها، أنشأت مايكروسوفت دورًا مخصصًا في الدليل - «مسؤول معرّف الوكيل». ما الهدف؟ منح المسؤولين تحكمًا دقيقًا في وكلاء الذكاء الاصطناعي وأذوناتهم. أما الواقع؟ سلطة أوسع بكثير مما توقعه أيٌّ كان.
اكتشف باحثا Silverfort، نوا أريئيل ويوآف س، أن هذا الدور لم يكن يدير وكلاء الذكاء الاصطناعي فحسب - بل كان قادرًا على تعديل ما يقرب من أي «كيان خدمة رئيسي للتطبيق» (Application Service Principal) في بيئة سحابة الشركة. يعمل «كيان الخدمة الرئيسي» كجواز سفر رقمي للتطبيقات، يمنحها القدرة على الوصول إلى بيانات وأنظمة حساسة. وإذا تمكن مهاجم من أن يصبح مالكًا لإحدى هذه الهويات، فبوسعه تزوير بيانات اعتماد خاصة به والتنقل داخل الشبكة دون اكتشاف.
كانت سلسلة الهجوم بسيطة على نحو مقلق. فمستخدم داخلي أو مستخدم مخترق يمتلك امتيازات «مسؤول معرّف الوكيل» سيستخدم Microsoft Graph API أو Azure CLI لحصر الحسابات عالية القيمة - مستهدفًا «كيانات الخدمة الرئيسية» ذات الأذونات القوية. ثم يضيف نفسه كمالك، ويحقن بيانات اعتماد جديدة، ويصادق بصفته تلك التطبيقات. ومن هناك، تصبح الشبكة تحت أمره.
وكانت تجربة Silverfort لإثبات المفهوم مرعبة: عرضٌ توضيحي تم فيه اختطاف حساب «المسؤول العام» (Global Administrator) الخاص بمستأجر - وهو مستخدم فائق بصلاحيات واسعة - بهدوء. تركت العملية بأكملها آثارًا قليلة، ما يجعلها كابوسًا لفرق الأمن وحلمًا للمهاجمين.
تداعيات متسلسلة واستجابة
كان الخطر واسع الانتشار. فمع اعتماد معظم المؤسسات على «كيانات خدمة رئيسية» ذات امتيازات، ومع التبني السريع لهويات وكلاء الذكاء الاصطناعي، شكّل نموذج الأذونات المعيب تهديدًا منهجيًا. أبلغت Silverfort مايكروسوفت بالخلل في 1 مارس 2026. وبحلول 9 أبريل، أغلقت مايكروسوفت الثغرة، مقيّدة دور «مسؤول معرّف الوكيل» بنطاقه المقصود. ومع ذلك، تبقى الحادثة تذكيرًا صارخًا: في السحابة، قد تتدحرج أصغر إساءة إعداد لتتحول إلى أزمة كاملة.
ما بعد الحادثة: دروس في الثقة السحابية
بالنسبة للمؤسسات، رسالة التنبيه واضحة. يجب تمحيص الأدوار والأذونات، ليس فقط لما يُفترض أن تفعله - بل لما يمكن أن تفعله. ومع تعمّق جذور الذكاء الاصطناعي والأتمتة في أمن المؤسسات، تصبح اليقظة غير قابلة للتفاوض. قد تعد السحابة بالرشاقة وقابلية التوسع، لكن كما تُظهر هذه الحادثة، فإن الثقة لا تزال تتطلب تحققًا مستمرًا.
WIKICROOK
- Service Principal: كيان الخدمة الرئيسي هو حساب خاص يتيح لتطبيق أو خدمة الوصول بأمان إلى موارد السحابة بأذونات محددة، بدلًا من استخدام بيانات اعتماد المستخدم.
- Agent ID: يعرّف معرّف الوكيل وكيلَ ذكاء اصطناعي بشكل فريد، ما يتيح المصادقة والتتبع وتنفيذ إجراءات آمنة داخل أنظمة الأمن السيبراني، تمامًا مثل اسم المستخدم للبشر.
- Privilege Escalation: يحدث تصعيد الامتيازات عندما يحصل مهاجم على وصول أعلى مستوى، منتقلًا من حساب مستخدم عادي إلى امتيازات المسؤول على نظام أو شبكة.
- Credential Injection: حقن بيانات الاعتماد هو قيام المهاجمين بإضافة بيانات اعتماد جديدة إلى الحسابات، ما يتيح وصولًا غير مصرح به أو تصعيدًا للامتيازات داخل الأنظمة أو الشبكات.
- Microsoft Graph API: واجهة Microsoft Graph API هي واجهة حديثة تتيح للتطبيقات الاتصال بأمان وإدارة البيانات عبر خدمات Microsoft 365 السحابية.
