منصة EvilTokens ديال تصيد (phishing) كتجاوز MFA عن طريق استغلال شاشات الموافقة ديال OAuth
The New Phishing Click: How OAuth Consent Bypasses MFA
منصة EvilTokens ديال تصيد (phishing) كتجاوز MFA عن طريق استغلال شاشات الموافقة ديال OAuth
خلاصة (TL;DR) — منصة EvilTokens، اللي هي خدمة ديال تصيد (phishing) بدات في فبراير 2026، قدرات تخترق كثر من 340 مؤسسة خدامة بـ Microsoft 365 في ظرف خمسة دالسيمانات. هادشي دارتو عن طريق توجيه المستعملين لشاشات موافقة (consent screens) ديال OAuth حقيقية. الضحايا كيكملو عملية MFA في نطاقات (domains) شرعية، ولكن بلا ما يحسو كيعطيو لأي مهاجم refresh tokens صالحة لأسابيع ولا شهور—هاد الـ tokens كتبقى خدامة واخا يتبدل المودپاس، وما كتخلي تا شي أثر ديال تسجيل الدخول اللي يقدرو أنظمة الحماية التقليدية يعيقو بيه. هاد الهجوم كيستغل واحد ثغرة هيكلية: MFA كيحمي عملية تسجيل الدخول، ولكن الموافقة ديال OAuth كتجي من تحتها ומفروقة عليها.
شنو وقع
منصة EvilTokens دارت هجوم ديال تصيد (phishing) مبني على الموافقة (consent) على نطاق واسع. المنصة صيفطات للأهداف رسالة كتطلب منهم يدخلو كود قصير في microsoft.com/devicelogin ويكملو التحدي العادي ديال MFA. المستعملين كيتأكدو من الهوية ديالهم في المزود الشرعي ديال Microsoft، وكيكملو عامل المصادقة الثاني في النطاق الحقيقي، وكيكليكو على Accept (موافق) في شي حاجة اللي كتبان بحال تسجيل روتيني ديال شي جهاز.
في الحقيقة، شنو دارو هو أنهم عطاو لفاعل التهديد refresh token ديال OAuth خدامة، وعندها صلاحيات للوصول للصندوق ديال الإيمايلات، السحابة (drive)، الكالوندريي، وجهات الاتصال. هاد الـ token كتاخد مدة الصلاحية على حساب الـ tenant policy—اللي تقدر تكون أسابيع ولا شهور على حسب الإعدادات—بلاصة ما تكون مربوطة بجلسة (session) وحدة. والأخطر في هادشي، هو أن تبديل المودپاس من بعد ما كيلغيش هاد الموافقة.
المهاجم قدر يوصل لهادشي بلا ما يعاود يرسل بيانات اعتماد (replaying credentials)، وبلا ما يخرج طلب ديال MFA في أي لحظة، وبلا ما يخلق أي حدث ديال تسجيل الدخول اللي يقدر نظام SIEM يعتبرو غريب (anomalous). من منظور البنية التحتية ديال الهوية، السيستيم خدم كما ينبغي: المستعمل أثبت الهوية ديالو، كمل عامل المصادقة الثاني، وعطى الموافقة لواحد النطاق ديال الصلاحيات (scope). الآليات اللي كتحبس تصيد (phishing) ديال بيانات اعتماد—بحال اكتشاف إعادة الإرسال (replay detection)، وربط تسجيلات الدخول الغريبة، و MFA—ما كتقدرش تشوف نهائيا هاد الطبقة من الهجوم.
علاش هادشي مهم
بالنسبة للمدافعين والمهندسين، هادشي كيمثل قلب جذري لنموذج التهديد (threat model). تصيد (phishing) ديال بيانات اعتماد كان كيفرض على أي مهاجم يا إما يعاود يخدم مودپاس مسروق (اللي كيتشد بـ MFA) أو يخدع المستعمل باش يعطيه بيانات اعتماد في الوقت الفعلي (اللي صعيب ملي كيكون MFA خدام). الصلاحيات ديال OAuth كتجاوز هادشي بجوج حيت المستعمل كيدير تسجيل الدخول في نطاق حقيقي، وكيكمل MFA بصح، والـ token اللي كتخرج من بعد كتكون حتى هي شرعية وموثوقة.
نافذة الاكتشاف كتزيد تضياق حيت الـ refresh tokens مصاوبين باش يبقاو خدامين ما بين الجلسات (sessions) ويصمدو قدام تبديل المودپاس. أي مهاجم عندو refresh token خدامة يقدر يوصل للإيمايلات، الكالوندريي، جهات الاتصال، والداتا ديال الدرايف إلى أجل غير مسمى—حتى يقوم شي أدمنستراتور بإلغاء الصلاحية بشكل صريح، أو تفرض شي سياسة ديال الوصول المشروط (conditional access policy) إعادة الموافقة من جديد.
الخطر من الدرجة الثانية كيبان ملي المستعملين كيكونو عندهم صلاحيات OAuth مفرقة على بزاف ديال تطبيقات SaaS. شي مستعمل في قسم المالية اللي كيعطي لشي أداة ذكاء اصطناعي ديال تلخيص الاجتماعات الحق باش تدخل للكالوندريي والإيمايل، ومن بعد كيعطي لشي مساعد إنتاجية الحق باش يدخل لـ shared drive، كيكون خلق داكشي اللي سماوه أي باحث أمني بـ "تشكيلة سامة" (toxic combination)—قناطر ديال الصلاحيات اللي تا مالك تطبيق ما وافق عليها بوحدو والي تا سجل تدقيق (audit log) فردي ما يقدر يشوفها كاملة. يلا تخترقات أداة تلخيص الاجتماعات، المهاجم كيمشي في نفس مسار هوية المستعمل باش يوصل لمسودات العقود وملفات الكليان.
هاد الخطر كيكبر بالزربة في البيئات فين الموظفين المتخصصين كيتصادفو مع عشرات الشاشات ديال الموافقة كل شهر—عملاء الذكاء الاصطناعي (AI agents)، إضافات الإنتاجية، وإضافات المتصفح—وكل وحدة كتطلب صلاحيات متداخلة. التطبيع مع الكليك على "موافق" قلب البروفايل ديال التهديد من لحظة نادرة كتطلب الانتباه لفعل روتيني لا إرادي.
الأنظمة المتضررة و CVEs
- Microsoft 365 (نطاقات الصلاحيات المستهدفة: الإيمايل، الدرايف، الكالوندريي، وجهات الاتصال)
- تطبيقات SaaS المعتمدة على OAuth (الخطر كيعتمد على النطاق والإعدادات)
- Salesforce (مذكور في الحادثة ديال Salesloft-Drift في 2025)
- سيرفورات Model Context Protocol (MCP) (واجهة هجوم ناشئة)
حتى وقت النشر، ما تم إصدار تا شي CVE.
شنو خاصنا نديرو
- نحافظو على جرد لجميع تطبيقات ثيرد پارتي (third-party) ديال OAuth اللي عندها refresh tokens في الـ tenant، ويتم تحديث هاد الجرد بشكل مستمر ماشي غير في وقت الأوديت (audit).
- نطبقو سياسات الوصول المشروط (conditional access policies) اللي كتفرض إعادة الموافقة (re-consent) ملي كيطراو أحداث متعلقة بالموافقة، ماشي غير في عمليات تسجيل الدخول. هادشي غادي يبطل الـ tokens اللي كتدوم مدة طويلة يلا طرا شي خرق للسياسة.
- نعلمو (Flag) الهويات اللي عندها صلاحيات في ثلاثة أو أكثر من تطبيقات SaaS باش نراجعوها ونحددو المستعملين اللي كيشكلو قنطرة بين مجالات صلاحيات متعددة.
- نلغيو الـ tokens ديال OAuth الفردية بلاصة ما نوقفو الحسابات ديال المستعملين. الإلغاء على مستوى الـ token كيحافظ على إمكانية دخول المستعمل وفي نفس الوقت كيحيد الصلاحية المخترقة.
- نراقبو أي tokens تصدرات هادي كثر من 30 يوم بلا إعادة موافقة ونخرجوها في قائمة عمليات للمراجعة.
- نديرو تخطيط لعملاء الذكاء الاصطناعي والربط (integrations) اللي كيربطو بين أنظمة متعددة باش نقدرو نحددو التشكيلات السامة غير المصرح بيها، اللي كتكون خارج مسار أي أوديت فردي ديال مالك التطبيق.
- نخدمو بمنصات اللي كتكتشف وتراقب باستمرار الصلاحيات ديال OAuth، وعملاء الذكاء الاصطناعي في طبقة الـ runtime فين كيتكونو هاد القناطر في الواقع، بلاصة ما نعتامدو غير على الأوديت الدوري.
أسئلة باقا مطروحة
- البلدان المحددة اللي تأثرات بـ EvilTokens ما مذكوراش في المصدر.
- ما تم تعيين تا شي معرفات تقنية أو أرقام CVE للمنصة ديال EvilTokens.
- النطاق الدقيق ديال تقنيات الهندسة الاجتماعية اللي وفراتها EvilTokens كجزء من الخدمة ديالها ما مفصلش.
- طرق الاكتشاف اللي استعملها أي باحث أمني باش يحدد نشاط EvilTokens ما محددينش.
- المصدر ما كيوضحش واش Microsoft 365 طلقات أي ترقيع (patch) أو تحديث للسياسات كرد على هاد الحملة.
- الصيغة المحددة ديال نص الموافقة أو أنماط واجهة المستخدم (UI patterns) اللي خدمو بيهم في EvilTokens باش ينقصو من شكوك الضحية ما موصوفينش.
- الإطار الزمني ديال امتى اكتشفو المؤسسات الاختراق وبداو في المعالجة ما متوفرش.
المصدر
التعليقات (0)
التعليقات كتتحمل ملي توصل لهاد الجزء.