هجوم Password Spray على Azure CLI يستهدف حسابات مايكروسوفت بأكثر من 81 مليون محاولة دخول، ما أدى لاختراق 78 حساباً في 64 مؤسسة.
ما هو هجوم Password Spray على Azure CLI؟
يشهد Azure CLI موجة هجمات آلية واسعة تعتمد على أسلوب Password Spray، وهو نمط يحاول فيه المهاجم استخدام كلمات مرور شائعة على عدد كبير من الحسابات بدلاً من استهداف حساب واحد بمحاولات كثيرة.
وبحسب المعطيات المتداولة، استمرت الحملة بين 12 و26 يونيو 2026، واستهدفت بيئات عمل متعددة من دون التركيز على قطاع بعينه، ما يشير إلى أن معيار الاختيار كان شيوع كلمات المرور المسربة لا طبيعة المؤسسة.
لماذا يختلف هذا الهجوم عن المحاولات التقليدية؟
اللافت هنا ليس الحجم فقط، بل قدرة المهاجمين على تجاوز بعض طبقات الحماية المعتادة. هذا ما جعل الهجوم مثيراً للقلق لدى فرق الأمن، خاصة مع استهداف حسابات مرتبطة بخدمات مايكروسوفت السحابية.
- أكثر من 81 مليون محاولة تسجيل دخول
- اختراق 78 حساباً على الأقل
- تضرر 64 مؤسسة مختلفة
- الذروة سُجلت يوم 22 يونيو 2026
كيف تم تجاوز سياسات الحماية في مايكروسوفت؟
تشير التفاصيل إلى استخدام تدفق OAuth قديم يُعرف باسم ROPC، وهو اختصار لـ Resource Owner Password Credentials. هذا الأسلوب يسمح بإرسال اسم المستخدم وكلمة المرور مباشرة للحصول على رمز وصول، وهو ما يقلل فعالية بعض آليات الحماية الحديثة.
المشكلة أن هذا التدفق لا يتوافق جيداً مع المصادقة متعددة العوامل MFA، لذلك تُحذر مايكروسوفت منذ فترة من الاعتماد عليه إلا في حالات محدودة جداً. ووفقاً لقراءة تيكبامين، فإن استمرار وجود هذا النوع من التهيئة القديمة داخل بعض البيئات يمنح المهاجمين نافذة عملية للاستغلال.
ما الذي يجعل ROPC نقطة ضعف؟
- يعتمد على اسم المستخدم وكلمة المرور مباشرة
- لا ينسجم بشكل مثالي مع MFA
- يُعد من التدفقات القديمة في OAuth
- قد يفتح باباً لتجاوز بعض سياسات Conditional Access
هذا يعني أن المؤسسات التي لم تُراجع إعداداتها القديمة قد تجد نفسها محمية نظرياً، لكن أقل صلابة عملياً أمام هجمات Password Spray على Azure CLI.
متى تصاعدت الهجمات وما حجم الضرر؟
خلال الفترة من 12 إلى 21 يونيو، سُجلت حالات اختراق يومية محدودة بمتوسط يتراوح بين حسابين وأربعة حسابات. لكن في 19 يونيو ارتفع الرقم إلى 12 هوية رقمية مخترقة خلال يوم واحد.
التحول الأكبر حدث في 22 يونيو، حين تأثرت 30 هوية رقمية عبر 23 شركة دفعة واحدة، وهو ما يعكس تغيراً واضحاً في وتيرة الهجوم وقدرة المهاجم على توسيع النطاق بسرعة.
كيف تحمي مؤسستك من هجوم Password Spray على Azure CLI؟
الخطوة الأولى هي تعطيل أي استخدام غير ضروري لتدفق ROPC، ثم مراجعة سياسات الوصول المشروط والتأكد من عدم وجود استثناءات قديمة. كما يجب فحص سجلات تسجيل الدخول لرصد المحاولات القادمة من عناوين IPv6 المشبوهة أو القفزات غير المعتادة في عدد المحاولات.
- تفعيل MFA على جميع الحسابات الحساسة
- إيقاف التدفقات القديمة Legacy Authentication
- فرض كلمات مرور قوية وفريدة
- مراقبة محاولات تسجيل الدخول الشاذة بشكل يومي
في النهاية، يوضح هذا الهجوم أن الاعتماد على الإعدادات الافتراضية لم يعد كافياً. وكما ترى تيكبامين، فإن التعامل الجاد مع هجوم Password Spray على Azure CLI يبدأ من مراجعة البنية القديمة قبل أن تتحول إلى نقطة اختراق فعلية.