حرّاس غير مرئيين: كيف فتح دور في Microsoft Entra ID الباب أمام استحواذات سحابية صامتة

بدأ الأمر بهدوء، بدورٍ صُمّم لتمكين الذكاء الاصطناعي. لكنه كاد بدلًا من ذلك أن يتيح للمهاجمين التسلل متجاوزين الحراس الرقميين لأكبر مستأجري السحابة في العالم. هذه قصة كيف كادت ميزة حسنة النية في Microsoft Entra ID أن تتحول إلى سلاح قوي لتصعيد الامتيازات، وكيف حال اكتشافٌ في الوقت المناسب دون وقوع كارثة.

حقائق سريعة

• كان من الممكن إساءة استخدام دور مايكروسوفت “Agent ID Administrator” المصمم لإدارة وكلاء الذكاء الاصطناعي للاستيلاء على التحكم في أي كيان خدمة (Service Principal) داخل مستأجر السحابة الخاص بالمؤسسة.
• أتاحت الثغرة للمستخدمين الذين يملكون هذا الدور إسناد الملكية لأنفسهم وإضافة بيانات اعتماد إلى كيانات خدمة عالية الامتياز، ما يعرّض المستأجر للاختراق الكامل.
• كشف باحثو الأمن في Silverfort المشكلة لمايكروسوفت في 1 مارس 2026؛ وتم نشر إصلاح عالمي في 9 أبريل 2026.
• بعد التصحيح، تُحظر محاولات استغلال الثغرة بخطأ “Forbidden”، ما يغلق مسار تصعيد الامتيازات.
• تسلّط الحادثة الضوء على مخاطر الأذونات الواسعة للأدوار على أسس الهوية المشتركة في عصر الأتمتة المدفوعة بالذكاء الاصطناعي.

تشريح مسار تصعيد خفي

يُعد Microsoft Entra ID، منصة الهوية السحابية لدى عملاق التقنية، حصنًا للهويات الرقمية - البشرية وغير البشرية على حد سواء. ومع تزايد اعتماد وكلاء الذكاء الاصطناعي لأتمتة المهام، قدّمت مايكروسوفت دور “Agent ID Administrator” لإدارة دورات حياتهم. لكن تحت السطح، كان هناك تهديد صامت: لم تكن أذونات هذا الدور محصورة بدقة في هويات الوكلاء. بل سمحت لمن يملك الدور بالاستحواذ على ملكية أي كيان خدمة - وهو كائن هوية أساسي تستخدمه التطبيقات والخدمات للوصول إلى الموارد.

كانت التداعيات مذهلة. فمع الملكية، يستطيع المهاجم إضافة بيانات اعتماده الخاصة إلى كيان الخدمة، منتحلًا هويته بالكامل. وإذا كان ذلك الكيان يتمتع بامتيازات مرتفعة، مثل الوصول إلى أدلة حساسة أو واجهات برمجة تطبيقات قوية، يمكن للمهاجم التحرك بصمت عبر البيئة السحابية، وسحب البيانات أو تخريب الأنظمة - كل ذلك دون إطلاق إنذارات تقليدية.

كشف فريق أمن Silverfort، بقيادة الباحثة نوا أريئيل، هذا السهو وأبلغ مايكروسوفت به بشكل مسؤول. وأظهرت نتائجهم مشكلة منهجية: عندما تُضاف أدوار هوية جديدة فوق أطر قائمة دون تحديد نطاق صارم، يمكن لزحف الأذونات أن يعرّض الأصول الحرجة للخطر. وفي هذه الحالة، تضاعف الخطر في المستأجرين الذين لديهم كيانات خدمة ذات امتيازات عالية - وهي أهداف مثالية للمهاجمين الساعين لأقصى تأثير.

جاء رد مايكروسوفت سريعًا. فبحلول أوائل أبريل 2026، كان التصحيح قد فُعّل عبر جميع البيئات السحابية. والآن، تُحظر فورًا محاولات إسناد الملكية إلى كيانات خدمة غير تابعة للوكلاء باستخدام دور Agent ID Administrator، مع عرض رسالة “Forbidden”. وهكذا أُغلق مسار تصعيد الامتيازات الذي كان مفتوحًا.

دروس لمستقبل تقوده الآلات

تُعد هذه الحادثة قصة تحذيرية للمؤسسات التي تتسابق لاعتماد الذكاء الاصطناعي والأتمتة. ومع تضاعف الهويات غير البشرية، يصبح تحديد نطاق الأدوار ذات الامتيازات ومراقبتها أمرًا بالغ الأهمية. ويوصي الخبراء بالتدقيق المستمر في ملكية كيانات الخدمة، والمراقبة اليقظة لتغييرات بيانات الاعتماد، واعتماد نهج انعدام الثقة في إسناد الأدوار. إن الحدود بين الفاعلين البشر والآلات تتلاشى - لكن أساسيات أقل قدر من الامتياز والرقابة تظل بالغة الأهمية كما كانت دائمًا.

WIKICROOK

• كيان الخدمة (Service Principal): كيان الخدمة هو حساب خاص يتيح لتطبيق أو خدمة الوصول بأمان إلى موارد السحابة بأذونات محددة، بدلًا من استخدام بيانات اعتماد المستخدم.
• تصعيد الامتيازات (Privilege Escalation): يحدث تصعيد الامتيازات عندما يحصل المهاجم على وصول بمستوى أعلى، منتقلًا من حساب مستخدم عادي إلى امتيازات المسؤول على نظام أو شبكة.
• تحديد نطاق الدور (Role Scoping): يقيّد تحديد نطاق الدور أذونات الدور ووصوله، بما يضمن أن المستخدمين لا يصلون إلا إلى الموارد اللازمة لعملهم، مما يحسن الأمان والامتثال.
• غير (Non): الهوية غير البشرية هي بيانات اعتماد رقمية تستخدمها البرمجيات أو الآلات، لا الأشخاص، للوصول بأمان إلى الأنظمة والبيانات.
• الإفصاح المسؤول (Responsible Disclosure): الإفصاح المسؤول هو الإبلاغ عن الثغرات الأمنية بشكل خاص إلى المورّدين، بما يتيح لهم إصلاح المشكلات قبل نشر المعلومات للعامة.