توفر هذه المدونة نظرة عامة رفيعة المستوى حول الثغرة الأمنية وتأثيرها. للحصول على تعمق تقني، يرجى الرجوع إلى مدونتنا التقنية.

مقدمة

حددت Wiz Research ناقل هجوم جديد في Azure Active Directory (AAD) والذي أدى إلى اختراق موقع Bing.com الخاص بشركة Microsoft. يعتمد ناقل الهجوم على تكوين خاطئ شائع لـ AAD، مما يعرض التطبيقات التي تم تكوينها بشكل خاطئ للوصول غير المصرح به.

ووجد الباحثون أن العديد من تطبيقات مايكروسوفت معرضة لهذا الهجوم، وكان أحدها نظام إدارة المحتوى (CMS) الذي يشغل موقع Bing.com. وقد سمح لهم ذلك بالاستيلاء على وظائف Bing.com، وتعديل نتائج البحث، وربما تمكين سرقة بيانات اعتماد Office 365 لملايين مستخدمي Bing. ومنحت بيانات الاعتماد هذه بدورها إمكانية الوصول إلى رسائل البريد الإلكتروني والمستندات الخاصة بالمستخدمين.

أطلقت شركة Wiz Research على هذا الهجوم اسم “#BingBang”. كان استغلال الثغرة الأمنية بسيطًا ولم يتطلب سطرًا واحدًا من التعليمات البرمجية.

تم الكشف عن جميع المشكلات بشكل مسؤول لشركة Microsoft عند اكتشافها. قامت Microsoft بسرعة بإصلاح تطبيقاتها الضعيفة وتعديل بعض وظائف AAD لتقليل تعرض العملاء للخطر.

للتحقق مما إذا كانت بيئتك قد تأثرت، يرجى الرجوع إلى قسم “إرشادات معالجة العملاء” في مدونتنا الفنية.

تدفق هجوم BingBang

الجزء 1: تسجيل الدخول إلى واجهة Bing.com الحساسة

كجزء من جهود Wiz Research للتحقيق في المخاطر السحابية الجديدة ونواقل الهجوم (مثل ChaosDB وOMIGOD وما إلى ذلك)، قام باحثونا بفحص Azure Active Directory واكتشفوا تكوينًا محفوفًا بالمخاطر.

ما هو Azure Active Directory؟

أزور الدليل النشط (AAD) هي خدمة إدارة الهوية والوصول السحابية. AAD هي آلية المصادقة الأكثر شيوعًا للتطبيقات التي تم إنشاؤها في Azure App Services أو Azure Functions. قد تكون على دراية بصفحة تسجيل الدخول إلى AAD:

ما التكوين الخطير الذي اكتشفته Wiz Research في AAD؟

يوفر AAD أنواعًا مختلفة من الوصول إلى الحساب: حسابات مستأجر واحد أو حسابات متعددة المستأجرين أو حسابات شخصية أو مزيج من الاثنين الأخيرين. يسمح التطبيق متعدد المستأجرين بتسجيل الدخول من أي مستخدم ينتمي إلى أي مستأجر في Azure. في التطبيق متعدد المستأجرين، تقع على عاتق المطور مسؤولية التحقق من المستأجر الأصلي للمستخدم وتوفير الوصول وفقًا لذلك. إذا لم يتحققوا من صحة هذه المعلومات بشكل صحيح، فيمكن لأي مستخدم Azure في العالم تسجيل الدخول إلى التطبيق.

إن بنية المسؤولية المشتركة هذه ليست واضحة دائمًا للمطورين، ونتيجة لذلك، فإن أخطاء التحقق والتكوين شائعة جدًا.

اكتشاف تطبيق Bing الضعيف

بعد التعرف على هذه المشكلات وتأثيرها المحتمل، بدأ الباحثون في البحث عن التطبيقات الضعيفة (التطبيقات متعددة المستأجرين التي تفتقر إلى التحقق المناسب) على الإنترنت. وكانت النتائج صادمة، حيث كان ما يقرب من 25% من التطبيقات متعددة المستأجرين التي تم فحصها معرضة للخطر.

والأكثر إثارة للدهشة هو أن القائمة تضمنت تطبيقًا أنشأته شركة Microsoft نفسها، يسمى “Bing Trivia”.
نظرًا لتكوين هذا التطبيق بشكل خاطئ، تمكن الباحثون من تسجيل الدخول إليه باستخدام مستخدم Azure الخاص بهم. ثم وجدوا نظام إدارة المحتوى (CMS) مرتبطًا بموقع Bing.com.

الجزء 2: تعديل نتائج بحث Bing.com

للتحقق من أن نظام إدارة المحتوى هذا كان يتحكم بالفعل في نتائج Bing المباشرة، قاموا بتحديد كلمة رئيسية في نظام إدارة المحتوى وقاموا بتغيير محتواها مؤقتًا. لقد اختاروا استعلام البحث “أفضل الموسيقى التصويرية”، والذي عرض قائمة بالموسيقى التصويرية للأفلام الموصى بها بشدة.

ثم شرعوا في تغيير النتيجة الأولى، “Dune (2021)”، إلى النتيجة المفضلة لديهم، “Hackers (1995)”، ودفعوها إلى مرحلة الإنتاج. ظهرت نتائجهم الجديدة، كاملة بالعنوان والصورة المصغرة والرابط العشوائي، على الفور على Bing.com:

أثبت هذا أنهم قادرون على التحكم في نتائج البحث العشوائية على Bing.com. وبالتالي، يمكن لممثل خبيث هبط على صفحة تطبيق Bing Trivia أن يتلاعب بأي مصطلح بحث ويطلق حملات معلومات مضللة، بالإضافة إلى التصيد الاحتيالي وانتحال هوية مواقع الويب الأخرى.

الجزء 3: سرقة بيانات اعتماد Office 365 من مستخدمي Bing

بعد أن أدرك باحثو Wiz أن بإمكانهم تعديل Bing.com، قرروا اختبار صلاحية البرمجة النصية عبر المواقع (XSS).

ما هو هجوم البرمجة النصية عبر المواقع (XSS)؟

تعد هجمات البرمجة النصية عبر المواقع (XSS) نوعًا من الحقن الذي يتم من خلاله حقن البرامج النصية الضارة في مواقع الويب الحميدة والموثوقة. تحدث هجمات XSS عندما يستخدم المهاجم تطبيق ويب لإرسال تعليمات برمجية ضارة إلى مستخدم نهائي عبر موقع الويب.

أضاف الباحثون حمولة XSS غير ضارة إلى Bing.com ورأوا أنها تعمل كما هو متوقع، لذلك تراجعوا بسرعة عن تغييراتهم وأبلغوا Microsoft على الفور بالنتائج التي توصلوا إليها.

أثناء العمل مع Microsoft على التقرير، بدأ الباحثون في التحقيق في تأثير XSS الذي وجدوه، واكتشفوا أنه يمكنهم استخدامه لاختراق رمز Office 365 المميز لأي مستخدم Bing.

تم دمج Bing وOffice 365: يحتوي Bing على قسم “العمل” الذي يسمح للمستخدمين بالبحث في بيانات Office 365 الخاصة بهم. لتنفيذ هذه الوظيفة، يتواصل Bing مع Office 365 نيابةً عن المستخدم الذي قام بتسجيل الدخول. باستخدام هذه الميزة نفسها، صمم الباحثون حمولة XSS التي سرقت رموز الوصول إلى Office 365 من المستخدمين:

باستخدام رمز مميز مسروق، يمكن للمهاجم المحتمل الوصول إلى بيانات Office 365 الخاصة بمستخدمي Bing، بما في ذلك رسائل البريد الإلكتروني في Outlook والتقويمات ورسائل Teams ومستندات SharePoint وملفات OneDrive. واقتصرت الاختبارات على المستخدم الخاص بالباحث؛ لم يتم إجراء أي اختبارات على مستخدمي Bing.com الآخرين.

كان من الممكن لممثل خبيث يتمتع بنفس الوصول أن يخطف نتائج البحث الأكثر شيوعًا بنفس الحمولة وتسريب البيانات الحساسة لملايين المستخدمين. وفقًا لموقع SameWeb، يعد Bing هو الموقع السابع والعشرين الأكثر زيارة في العالم، مع أكثر من مليار مشاهدة للصفحة شهريًا – وبعبارة أخرى، من الممكن أن يتعرض ملايين المستخدمين لنتائج بحث ضارة وسرقة بيانات Office 365.

تدفق هجوم BingBang

الوجبات السريعة – تحديات تأمين التطبيقات السحابية

تعمل السحابة على تسريع الابتكار من خلال مرونة بنيتها التحتية. تجلب هذه السرعة أيضًا تغييرات ومخاطر جديدة. في هذه الحالة، بنقرة زر واحدة فقط، يمكن للمستخدم كشف خدمة حساسة على الإنترنت عن طريق الخطأ.

وفي ضوء هذا الخطر، فإن ثغرة Bing التي اكتشفناها هي تذكير بأن خطأ بسيط من جانب المطور يمكن أن يكون له آثار خطيرة، ومن المحتمل أن يؤدي إلى تعطيل أحد أشهر مواقع الويب في العالم – وهو أحد الركائز الأساسية للإنترنت.

باعتبارنا منشئي السحابة، فإن السرعة التي نعمل بها تجعلنا عرضة للأخطاء، ولهذا السبب يجب أن نتوقع الحادث الحتمي التالي. تعتمد مرونتنا كفرق أمنية على كيفية اكتشاف تلك الأخطاء والتخفيف منها. يجب أن يكون منع التعرض العرضي ركيزة أساسية لأي برنامج أمان سحابي:

  1. الكشف السريع – ما مدى السرعة التي يمكنك بها اكتشاف ومراقبة نقطة نهاية عامة جديدة في مؤسستك؟

  2. حواجز حماية واضحة – كيف يمكنك التمييز بين التعرض المقصود والتعرض العرضي؟ يجب أن تكون الإرشادات محددة بوضوح للتعرض المعتمد حتى يمكن تهيئتها وحمايتها بشكل صحيح. وأي شيء آخر ينبغي اعتباره عرضيًا.

  3. الأتمتة التكيفية – هل يتم اكتشاف سطح الهجوم الخاص بك والتحقق من صحته بشكل تلقائي لمواكبة وتيرة التغييرات في السحابة؟

للحصول على خطوات تخفيف محددة لهذا النوع من التعرض والمزيد من التفاصيل الفنية، يمكنك الرجوع إلى المدونة الفنية.

نحن نرحب بأسئلتك وملاحظاتك! راسلنا عبر البريد الإلكتروني على Research@wiz.io.

شاركها.
اترك تعليقاً