تحذير مايكروسوفت من إساءة توجيه OAuth والبرمجيات الخبيثة

تحذر مايكروسوفت من إساءة توجيه OAuth في حملات تصيد تستهدف جهات حكومية على نطاق واسع بروابط تبدو شرعية وتنتهي بتحميل برمجيات خبيثة.

ما هي إساءة توجيه OAuth ولماذا تقلق الجهات الحكومية؟

توضح مايكروسوفت أن الهجمات تستغل سلوك OAuth القياسي لإرسال المستخدم إلى صفحة يحددها مزود الهوية عند حدوث خطأ، من دون سرقة الرموز أو كلمات المرور. هذا يجعلها تهديداً قائماً على الهوية يصعب كشفه عبر فلاتر البريد التقليدية. وفقاً لتكبامين، التركيز ينصب على المؤسسات الحكومية والقطاع العام.

لأن الرابط يبدأ بنطاقات موثوقة مثل Entra ID أو Google Workspace، تمر كثير من الرسائل عبر فلاتر البريد. كما أن التحويل يحدث بعد المصادقة أو عند خطأ في النطاق، ما يمنح المهاجم غطاءً شرعياً.

كيف يستغل المهاجمون التحويل الشرعي؟

الميزة الأصلية في OAuth تسمح بإعادة التوجيه في سيناريوهات محددة، لكن المهاجمين يصيغون روابط تبدو موثوقة لتسليم المستخدمين إلى نطاقات خبيثة. ويُعرف هذا الأسلوب باسم إساءة توجيه OAuth لأنه يعتمد على الإعدادات لا الثغرات.

كيف تبدأ الحملة الخبيثة وفق مايكروسوفت؟

تبدأ العملية بتطبيق خبيث ينشئه المهاجم داخل بيئة يسيطر عليها، ثم يضيف عنوان إعادة توجيه يقود إلى موقع يوزع البرمجيات. يصل الرابط للمستلم مع نطاق صحيح لكن بنطاق صلاحيات غير صالح لجرّه إلى صفحة المهاجم ضمن التصيد الاحتيالي.

• إنشاء تطبيق OAuth باسم مقنع
• إعداد Redirect URL إلى نطاق مزيف
• إرسال رابط تسجيل دخول مزيف للضحايا
• استخدام نطاق صلاحيات غير صالح لتفعيل التحويل
• توجيه المستخدم إلى صفحة تنزيل ملف ZIP

ما هي أساليب الإغراء في الرسائل؟

تستغل الحملة سياقات عمل يومية لإقناع الموظف بالضغط، وتتنكر كطلب توقيع أو إشعار مالي عاجل. هذا النمط يزيد احتمال النقر خاصة في الجهات التي تعتمد تدفقات عمل رقمية.

• طلبات توقيع إلكتروني على مستندات
• تسجيلات Microsoft Teams لاجتماعات سابقة
• إشعارات الرواتب أو الفواتير المستحقة
• تحديثات الضمان الاجتماعي والمزايا
• تنبيهات مالية أو مراجعات داخلية

ما الذي يحدث بعد تنزيل الملف المصاب؟

الملف المضغوط يحتوي على اختصار LNK يشغل PowerShell فور فتحه، ثم يُسقط مُثبت MSI ووثيقة خداعية لإرباك الضحية. بعد ذلك تُحمّل DLL خبيثة عبر برنامج شرعي لتشغيل الحمولة في الذاكرة.

مايكروسوفت أشارت إلى أن بعض الحالات تتطور إلى نشاط تمهيدي لبرمجيات الفدية أو تحكم يدوي، مع جمع معلومات عن النظام والشبكة قبل التشفير.

سلسلة التنفيذ داخل الجهاز

• تشغيل أمر PowerShell لاستكشاف الجهاز
• استخراج مثبت MSI من الأرشيف
• إسقاط مستند تمويهي لإقناع المستخدم
• تحميل DLL باسم crashhandler.dll عبر ملف شرعي
• فك تشفير crashlog.dat ثم الاتصال بخادم C2

كيف يمكن للجهات الحكومية الحماية الآن؟

تنصح مايكروسوفت بتعزيز سياسات الهوية ومراقبة سلوك OAuth، مع تشديد قواعد البريد لتقليل الروابط المحوّلة. ويشير تكبامين إلى أن التدريب المستمر للمستخدمين يقلل فرص النجاح.

كما يفيد ربط سجلات الهوية بأنظمة SIEM وتفعيل المصادقة متعددة العوامل في كشف محاولات إعادة التوجيه غير الطبيعية مبكراً.

• تقييد تسجيل تطبيقات OAuth من حسابات غير موثوقة
• مراجعة عناوين إعادة التوجيه المسموح بها دورياً
• حظر ملفات LNK و ZIP غير المتوقعة
• مراقبة أوامر PowerShell المشبوهة
• استخدام حلول EDR لاكتشاف DLL sideloading

في النهاية، تبقى إساءة توجيه OAuth تحدياً يتطلب يقظة مستمرة وتحديث ضوابط الهوية. والالتزام بالإبلاغ السريع عن الرسائل المشبوهة يقلل انتشار البرمجيات الخبيثة.