شهدت منظومة الأمن الإلكتروني تطوراً مقلقاً مع ظهور هجوم “ConsentFix” يستغل تدفقات المصادقة الشرعية في أنظمة Microsoft Entra لسرقة رموز المصادقة. يمثل هذا الهجوم تحدياً جديداً للمؤسسات التي تعتمد على حلول سحابية متقدمة.
يعتمد هجوم ConsentFix، الذي تم اكتشافه قبل نهاية العام، على آلية OAuth 2.0، وهي تقنية شائعة للمصادقة عبر التطبيقات السحابية. تم تصميم الهجوم لتجاوز الإجراءات الأمنية التقليدية، مما يجعله خطراً بشكل خاص على البنية التحتية الرقمية.
هجوم ConsentFix: التفاصيل والآليات
يعمل هجوم ConsentFix عن طريق توجيه المستخدمين، غالباً عبر رسائل تصيد احتيالي، نحو رابط تسجيل دخول تم إنشاؤه باستخدام Microsoft Entra. يستهدف هذا الرابط تطبيقات مثل Azure CLI و Azure Resource Manager.
عندما ينقر المستخدم على الرابط، تبدأ سلسلة من الأحداث. يقوم المستخدم بالمصادقة بنجاح باستخدام بيانات اعتماده، ويقوم متصفحه بإعادة التوجيه إلى عنوان استجابة يجب أن يكون شرعياً. من جهة أخرى، لا يوجد أي خدمة تستمع على عنوان localhost هذا.
يكمن التعقيد في أن صفحة الخطأ الناتجة عن عدم وجود خدمة تستمع، لا تزال تحتوي على رمز المصادقة الحساس ضمن عنوان URL لإعادة التوجيه. يبدأ المهاجم في هذه المرحلة بطلب من المستخدم نسخ هذا الرمز ولصقه، مستغلاً وظائف السحب والإفلات.
تجاوز سياسات الأمان
أشار محللو شركة Glueck Kanja إلى أن هذه التقنية تتجاوز بشكل لافت سياسات الوصول المشروط ومتطلبات توافق الأجهزة. وهذا يجعل الهجوم شديد الخطورة على المؤسسات التي لديها بالفعل أطر أمنية قوية.
أحد الجوانب المقلقة لهجوم ConsentFix هو قدرته على استغلال تدفق رمز المصادقة الخاص بـ OAuth 2.0. هذا التدفق هو حجر الزاوية في العديد من آليات تسجيل الدخول الحديثة، مما يعني أن نطاق تأثير الهجوم يمكن أن يكون واسعاً.
آليات الكشف والاستجابة
يجب على فرق الأمن فهم كيفية ظهور هجوم ConsentFix في السجلات للكشف عنه بفعالية. عند وقوع هذا الهجوم، تظهر سجلات تسجيل الدخول إلى Azure حدثين منفصلين للمصادقة ضمن نفس الجلسة.
الحدث الأول يمثل تفاعل المستخدم الشرعي، ويظهر كتسجيل دخول تفاعلي من موقع الضحية. في المقابل، يظهر الحدث الثاني، الذي ينشأ من البنية التحتية للمهاجم، كتسجيل دخول غير تفاعلي، حيث يقوم المهاجم بتبادل رمز المصادقة المسروق للحصول على رموز الوصول.
العلاقة الزمنية بين هذين الحدثين توفر الإشارة الأكثر موثوقية للكشف. تظل رموز المصادقة في Azure صالحة لمدة عشر دقائق تقريباً، مما يحدد نافذة زمنية واضحة يجب على المهاجمين خلالها استبدال الرموز. من خلال ربط معرفات الجلسة (SessionIDs) ومعرفات التطبيق (ApplicationIDs) ومعرفات المستخدم (UserIDs) المطابقة بين الحدثين خلال هذه الفترة، يمكن للمدافعين تحديد محاولات الهجوم.
بالإضافة إلى ذلك، يجب على المحللين ملاحظة أن عناوين IP غالباً ما تختلف بين الأحداث، حيث يعمل المستخدم والمهاجم من أنظمة منفصلة. استراتيجيات الكشف المتقدمة تقوم بتصفية السيناريوهات الآلية الشرعية، مثل GitHub Codespaces، التي تكمل هذه الرقصة المصادقة في ثوانٍ، مما يميز النشاط غير الضار عن محاولات سرقة الرموز الضارة.