لصوص غير مرئيين: كيف تحولت إضافات Outlook إلى الباب الخلفي الصامت في Microsoft 365

العنوان الفرعي: أسلوب هجوم جديد يتيح للقراصنة نهب رسائل البريد الحساسة من حسابات Microsoft 365 - من دون ترك أثر.

تخيّل هذا: رسائل بريد مؤسستك تتدفق بسلاسة، محمية بأمن Microsoft 365 القوي وسجلات التدقيق التفصيلية. لكن تحت السطح يتربص تهديد جديد ماكر - قادر على سحب أكثر رسائلك سرية، وقد لا تعرف أبدًا أنه حدث. مرحبًا بك في عالم إضافات Outlook المُسلَّحة، التي كشفت عنها Varonis Threat Labs في اكتشافها المقلق “Exfil Out&Look”.

حقائق سريعة

يمكن للمهاجمين استخدام إضافات Outlook لتهريب محتوى البريد بصمت من حسابات Microsoft 365.
عمليات التثبيت عبر Outlook Web Access (OWA) لا تُنشئ إدخالات في سجل التدقيق - حتى في بيئات Microsoft 365 من أعلى الفئات.
الإضافات الخبيثة تتطلب أذونات محدودة للغاية ولا تطلب موافقة المستخدمين ولا تُطلق تنبيهات.
عمليات النشر على مستوى المستأجر قد تؤثر في كل صندوق بريد، دون خيار للمستخدمين لإزالة التهديد.
سرقة البيانات المستمرة تبقى غير مرئية لأدوات المراقبة القياسية، ما يخلق نقطة عمياء خطيرة.

الهجوم: مخفي على مرأى من الجميع

إضافات Outlook هي امتدادات قائمة على الويب تعزز تجربة البريد في Microsoft 365، لكن مرونتها سلاح ذو حدين. وجد باحثو Varonis أن المهاجمين يمكنهم إعداد إضافة تبدو بريئة - لا تتطلب سوى صلاحية “القراءة” - لتتصل بهدوء بعملية إرسال الرسائل. في كل مرة يضغط فيها المستخدم “إرسال”، تقرأ الإضافة الموضوع والمحتوى والمستلمين والطابع الزمني، ثم تُرسل هذه البيانات الحساسة إلى خادم بعيد يملكه المهاجم باستخدام شيفرة JavaScript بسيطة.

ما الذي يجعل هذا الهجوم خبيثًا إلى هذا الحد؟ عند تثبيت الإضافة عبر Outlook Desktop، يسجل Windows الحدث محليًا. لكن عند تثبيتها عبر Outlook Web Access (OWA) - وهي طريقة شائعة في المؤسسات التي تعتمد السحابة أولًا - لا يظهر أي أثر في سجل التدقيق الموحّد (Unified Audit Log) في Microsoft 365. حتى المؤسسات التي تمتلك ترخيص E5 كاملًا وتدقيقًا شاملًا تبقى عمياء أمام وجود الإضافة وأفعالها.

خطر واسع النطاق، بلا أي إنذار

يتفاقم الخطر عندما تُنشر هذه الإضافات على مستوى المستأجر بواسطة المسؤولين. ببضع نقرات في مركز إدارة Microsoft 365، يمكن لمسؤول عام أو مسؤول Exchange دفع الأداة الخبيثة إلى كل صندوق بريد في المؤسسة. لا يستطيع المستخدمون إزالتها، ويظل نشاط التهريب المستمر غير مرئي تمامًا في السجلات القياسية. لا يُسجَّل سوى عمليات عامة على صندوق البريد - ولا شيء يشير إلى أن معلومات حساسة يتم اعتراضها وسرقتها.

دعوة إلى التغيير

تسلط نتائج Varonis الضوء على فجوة حرجة في بنية أمان Microsoft 365. ويحث الباحثون المؤسسات على تشديد الضوابط على تثبيت الإضافات، وتقييد رفع ملفات البيان (manifest) المخصصة، ومراجعة جميع الإضافات التي ينشرها المسؤولون بيقظة. كما يدعون Microsoft إلى إعادة تصميم تسجيل التدقيق لأفعال الإضافات وإدخال آليات موافقة أقوى قائمة على المخاطر.

الخلاصة: التهديد الصامت في صندوق الوارد لديك

مع اعتماد المؤسسات المتزايد على Microsoft 365، يأتي اكتشاف “Exfil Out&Look” كتذكير صارخ: أخطر الهجمات غالبًا هي تلك التي لا يمكنك رؤيتها. ومن دون تحرك عاجل، قد تحول الإضافات المُسلَّحة صناديق الوارد الموثوقة إلى قنوات غير مرئية لأسرار الشركات - تترك الضحايا دون أن يدركوا شيئًا.

WIKICROOK

إضافة Outlook: إضافة Outlook هي امتداد قائم على الويب يضيف ميزات أو أتمتة إلى Microsoft Outlook، ما يحسن الإنتاجية ويتيح التكامل مع خدمات أخرى.
سجل التدقيق الموحّد: يتتبع سجل التدقيق الموحّد في Microsoft 365 أنشطة المستخدمين والمسؤولين عبر الخدمات لأغراض المراقبة الأمنية والامتثال والتحقيق في الحوادث.
OWA (Outlook Web Access): يتيح OWA (Outlook Web Access) للمستخدمين الوصول إلى Microsoft Outlook عبر متصفح الويب، مقدمًا ميزات البريد والتقويم مع اعتبارات محددة للأمن السيبراني.
الأذونات: الأذونات هي إعدادات تتحكم فيما يمكن للمستخدمين أو التطبيقات الوصول إليه أو القيام به على جهاز ما، بما يحمي البيانات الحساسة من الاستخدام غير المصرح به.
الكيان الخدمي: الكيان الخدمي هو حساب خاص يتيح لتطبيق أو خدمة الوصول بأمان إلى موارد السحابة بأذونات محددة، بدلًا من استخدام بيانات اعتماد المستخدم.