احذر من الخطر الخفي في بيئة Microsoft Entra: الضيوف ليسوا آمنين كما تظن

كشفت أبحاث أمنية حديثة عن ثغرة مثيرة للقلق في بيئة Microsoft Entra، تُمكّن حسابات الضيوف من التسلل بشكل غير متوقع والسيطرة على اشتراكات داخلية، بما يمنحهم امتيازات متقدمة في بيئات يجب أن يكون وصولهم إليها محدودًا.

الثغرة: تصعيد امتيازات خفي لحسابات الضيوف

الثغرة ناتجة عن فجوة في التحكم بالوصول داخل آلية الاشتراكات في Entra، إذ يمكن لأي مستخدم ضيف لديه صلاحية إنشاء اشتراكات في بيئته الأصلية، أن ينقل تلك الاشتراكات إلى المستأجر (tenant) الذي تمت دعوته إليه، مع الاحتفاظ بملكية كاملة عليها.

ما يعنيه ذلك فعليًا هو أن مستخدمًا ضيفًا — يُفترض أن تكون صلاحياته محدودة — يمكنه زرع اشتراك يمتلك فيه دور “المالك” (Owner)، ويستخدمه كموطئ قدم لتوسيع نفوذه داخل بيئة المؤسسة المستهدفة.

وغالبًا ما تُعامل حسابات الضيوف على أنها منخفضة المخاطر، نظرًا لطبيعتها المؤقتة والمحدودة. لكن هذا السيناريو الذي يعمل “كما هو مصمم” فعليًا، يفتح الباب أمام مسارات هجوم معروفة وحركة جانبية داخل بيئة Entra، بما يتيح للمهاجمين تنفيذ:

• استطلاع غير مصرح به (Reconnaissance)

• الثبات داخل البيئة (Persistence)

• تصعيد الامتيازات (Privilege Escalation)

الآلية الفنية: كيف يُمكن للمهاجم استغلال الاشتراكات كضيف؟

تعتمد الهجمات على ثغرة هيكلية: صلاحيات الفوترة (Billing Roles) في مايكروسوفت تقع خارج إطار الأذونات التقليدية لـ Azure أو Entra، ما يجعلها غير مرئية لفِرق الأمن التي تراجع صلاحيات RBAC فقط.

خطوات الهجوم:

1. يحصل المهاجم على صلاحية إنشاء اشتراكات في مستأجر خاص به (مثلاً عبر تجربة مجانية من Azure).

2. يتم دعوته كـ”ضيف” في مستأجر الهدف.

3. يدخل إلى بوابة Azure من مستأجره، وينشئ اشتراكًا جديدًا مع تحديد مستأجر الضحية كوجهة.

4. يتم إنشاء الاشتراك في بيئة الضحية، ويُمنح المهاجم دور “المالك” على الفور.

5. لا يظهر الاشتراك في مستأجر المهاجم، بل في مستأجر الضحية — ما يُصعب اكتشافه.

ماذا يمكن لمهاجم “ضيوف” فعله داخل اشتراكه الجديد؟

• رؤية مديري مجموعة الإدارة الجذرية (Root MG Admins): معلومات عادة ما تكون محجوبة عن الضيوف.

• تعطيل سياسات Azure الأمنية المرتبطة بالاشتراك: بما يتيح إخفاء الأنشطة الخبيثة.

• إنشاء هويات مدارة (User-Managed Identities): يمكن أن تظل نشطة حتى بعد حذف حساب الضيف، وتُستخدم في هجمات تصيد لامتيازات إضافية.

• تسجيل أجهزة كمؤسسية مزيفة: والظهور كأجهزة موثوقة داخل بيئة Entra، مما يفتح بابًا لاستغلال سياسات الوصول الشرطي (Conditional Access).

لماذا يشكل هذا التهديد مصدر قلق متصاعد؟

تُظهر الأبحاث أن هذا المسار مُستغل بالفعل من قبل مهاجمين حقيقيين، وقد تم رصده ميدانيًا من قبل خبراء BeyondTrust. والأسوأ أن هذا النوع من الهجمات غالبًا ما يغيب عن الرادارات الأمنية، إذ لا يُتوقع من “الضيوف” امتلاك صلاحيات إنشاء اشتراكات!

ويُعد هذا الهجوم أكثر شيوعًا في السيناريوهات بين الشركات (B2B)، حيث تختلف الجهات المالكة للمستأجرات الأصلية والوجهة، مما يزيد من تعقيد التحكم الأمني.

توصيات الحماية:

• ✅ تفعيل سياسة “منع تحويل الاشتراكات” للضيوف عبر بوابة إعدادات الاشتراك.

• ✅ مراجعة شاملة لجميع حسابات الضيوف وإزالة غير الضروري منها.

• ✅ منع دعوات الضيوف من قبل ضيوف آخرين.

• ✅ مراقبة جميع الاشتراكات في المستأجر بحثًا عن أي نشاط غير متوقع.

• ✅ مراقبة التنبيهات من Azure Security Center باستمرار.

• ✅ تدقيق وصول الأجهزة المسجلة عبر قواعد المجموعات الديناميكية.

توفر أداة BeyondTrust Identity Security Insights أدوات لرصد تلقائي للاشتراكات التي ينشئها الضيوف، وكشف المسارات الخفية نحو تصعيد الامتيازات.