ثغرة خطيرة في Microsoft Entra ID تهدّد تطبيقات SaaS رغم مرور عامين على اكتشافها

كشفت شركة Semperis المتخصصة في أمن الهوية عن استمرار تهديد خطير يستهدف تطبيقات البرمجيات كخدمة (SaaS) بسبب ثغرة nOAuth في نظام Microsoft Entra ID، رغم مرور أكثر من عامين على اكتشافها.

وخلال مؤتمر TROOPERS25 الذي عُقد في مدينة هايدلبرغ الألمانية، استعرض خبراء الشركة نتائجهم الجديدة التي تؤكد أن ما لا يقل عن 15 ألف تطبيق SaaS لا تزال معرّضة لهذه الثغرة، ما يفتح الباب أمام عمليات اختراق حسابات المستخدمين وسرقة البيانات الحساسة.

ثغرة nOAuth… باب خلفي لتجاوز أنظمة الحماية

تعود جذور هذه الثغرة إلى يونيو 2023، حيث اكتشفتها شركة Descope خلال اختبارات بينية على مستوى مستأجري خدمة Azure AD من مايكروسوفت. وتكمن خطورة nOAuth في كونها نقطة ضعف في آلية التحقق ضمن تطبيقات Open Authorization (OAuth) متعددة المستأجرين، والتي تعتمدها العديد من تطبيقات مايكروسوفت على منصة Azure.

ويتيح بروتوكول OAuth للمستخدمين منح تطبيقات خارجية صلاحية الوصول إلى بياناتهم دون الحاجة إلى كشف هوياتهم، فيما يضيف بروتوكول OpenID Connect طبقة تحقق إضافية تعتمد على رموز JSON Web Tokens لضمان نقل المعلومات بأمان.

غير أن ضعف التحقق من صحة البريد الإلكتروني كمُعرّف للمستخدم، وهو سلوك مخالف لمعايير OpenID Connect، يُمكّن المهاجمين من الاستيلاء على حسابات المستخدمين بمجرد امتلاكهم لحساب Entra وتوافر بريد إلكتروني للضحية، دون الحاجة إلى أي تفاعل إضافي من المستخدم المستهدف.

الحماية التقليدية عاجزة أمام التهديد

أشارت شركة Semperis إلى أن أنظمة الحماية التقليدية مثل المصادقة متعددة العوامل (MFA)، وسياسات الوصول المشروط، وأطر الحماية المعتمدة على نموذج الثقة المعدومة (Zero Trust) لا توفر أي حماية فعلية ضد هذا النوع من الهجمات.

وبيّنت النتائج أن الثغرة لا تزال تمرّ دون اكتشاف من قِبل العديد من مزوّدي تطبيقات SaaS، في ظل غياب الوعي الكافي لديهم بشأن الثغرة، وعدم معرفة المؤسسات بالمؤشرات التي يجب مراقبتها.

تهديد واسع النطاق وخطر دائم

تقدّر Semperis أن نحو 10% من إجمالي تطبيقات SaaS النشطة، والتي يبلغ عددها أكثر من 150 ألف تطبيق، لا تزال معرّضة لهذه الثغرة حتى يونيو 2025. وحذّر إريك وودروف، كبير مهندسي الهوية في Semperis، من أن هذا التهديد يتميز بسهولة تنفيذه وصعوبة كشفه أو التصدي له، مشدداً على أن المطورين قد يتّبعون أنماطاً غير آمنة دون دراية منهم، ما يزيد من خطورة الموقف.

وقال وودروف: «في كثير من الأحيان، لا يدرك المطورون ما يجب عليهم البحث عنه، فيما تبقى المؤسسات عاجزة عن رصد أو منع الهجوم، ما يجعل هذا التهديد خطيراً ومستمرّاً بشكل خاص».

توصيات عاجلة لتقليص المخاطر

• رغم صعوبة الحماية الكاملة من ثغرة nOAuth، قدمت Semperis عدة توصيات لتقليل مستوى الخطر، أبرزها:
• ضرورة التزام مزوّدي تطبيقات SaaS بتعليمات مايكروسوفت الفنية لمنع استغلال الثغرة.
• حثّ المطورين على تطبيق التحديثات والإصلاحات اللازمة لحماية مستخدميهم.
• تفعيل آليات ربط وتحليل شامل للسجلات بين منصة Entra ID والتطبيقات المستهدفة لرصد أي محاولات استغلال للثغرة.