تجاوز حماية Safe Links في Microsoft Defender for Office 365
إياد المقحم و خالد المريخي
5/2/2024
5/2/2024
مقدمة
في هذه المقالة، سنقوم باستعراض كيفية تجاوز المهاجمين لحماية الـ Safe Links المقدمة من Microsoft Defender for Office 365 للقيام بإرسال بريد تصيدي برابط صفحة مزيفة تقوم بالتقاط اسم المستخدم وكلمة المرور لحساب الضحية بالإضافة الى رمز المصادقة للتحقق الثنائي (two-factor authentication).
سنقوم أولاً باستكشاف طريقة عمل حماية الـ Safe Links في حجب الروابط الخبيثة ومن ثم القيام بتجاوز هذه الحماية.
ما هو Microsoft Defender for Office 365؟
Microsoft Defender for Office 365 هو عبارة عن خدمة سحابية لحماية خدمات الـ Microsoft 365. أحد الحمايات التي تقدمها هي ما تعرف بالـ Safe Links، والتي تقوم بحماية المستخدمين من الضغط على الروابط خبيثة. Safe Links تعمل في زمن فعلي (real-time)، والذي يعني أنها تقوم بفحص الروابط ومحتواها في نفس اللحظة التي يقوم المستخدم بالضغط على الرابط.
لمعلومات إضافية عن Microsoft Defender for Office 365:
https://www.microsoft.com/en/security/business/siem-and-xdr/microsoft-defender-office-365
متطلبات المعمل
لغرض التوضيح، قمنا بإنشاء معمل اختباري والذي يشمل التالي:
السلوك الطبيعي لحماية الـ Safe Links
أولاً، سنقوم بإنشاء صفحة التصيد لمحاكاة الهجمة. في هذا المثال، هي مجرد صفحة ترحيبية تدعو المستخدم لتسجيل الدخل باستخدام Microsoft 365. هذه الصفحة قد تمثل صفحة مزيفة من تسجيل الدخول للمنظمة المستهدفة
في هذه المقالة، سنقوم باستعراض كيفية تجاوز المهاجمين لحماية الـ Safe Links المقدمة من Microsoft Defender for Office 365 للقيام بإرسال بريد تصيدي برابط صفحة مزيفة تقوم بالتقاط اسم المستخدم وكلمة المرور لحساب الضحية بالإضافة الى رمز المصادقة للتحقق الثنائي (two-factor authentication).
سنقوم أولاً باستكشاف طريقة عمل حماية الـ Safe Links في حجب الروابط الخبيثة ومن ثم القيام بتجاوز هذه الحماية.
ما هو Microsoft Defender for Office 365؟
Microsoft Defender for Office 365 هو عبارة عن خدمة سحابية لحماية خدمات الـ Microsoft 365. أحد الحمايات التي تقدمها هي ما تعرف بالـ Safe Links، والتي تقوم بحماية المستخدمين من الضغط على الروابط خبيثة. Safe Links تعمل في زمن فعلي (real-time)، والذي يعني أنها تقوم بفحص الروابط ومحتواها في نفس اللحظة التي يقوم المستخدم بالضغط على الرابط.
لمعلومات إضافية عن Microsoft Defender for Office 365:
https://www.microsoft.com/en/security/business/siem-and-xdr/microsoft-defender-office-365
متطلبات المعمل
لغرض التوضيح، قمنا بإنشاء معمل اختباري والذي يشمل التالي:
- نطاق تصيد للبريد: سيتم استخدامه من قبل المهاجم لإرسال بريد التصيد.
- صفحة تصيد لتسجل الدخول: سيتم استخدام هذه الصفحة من قبل المهاجم وارسال رابط الصفحة ضمن محتوى بريد التصيد، والتي تطلب من الضحية إدخال اسم المستخدم وكلمة المرور.
- نطاق ضحية للبريد: المنظمة المستهدفة للتصيد والتي يستقبل أحد موظفيها بريد التصيد من المهاجم.
- اشتراك في Microsoft 365: العنصر الأساسي لخدمات Microsoft 365.
- Microsoft Defender for Office 365 Plan 2: الخدمة السحابية التي تقدم الحماية لخدمات الـ Microsoft 365 والتي تحتوي على حماية الـ Safe Links كجزء منها.
- Evilginx: أداة تقوم بهجمة الرجل في المنتصف (man-in-the-middle) وتقوم بسرقة اسم المستخدم وكلمة المرور للضحية بالإضافة إلى ملفات تعريف الارتباط بالجلسة (session cookies)؛ والذي يقوم بتجاوز حماية المصادقة للتحقق الثنائي (two-factor authentication).
السلوك الطبيعي لحماية الـ Safe Links
أولاً، سنقوم بإنشاء صفحة التصيد لمحاكاة الهجمة. في هذا المثال، هي مجرد صفحة ترحيبية تدعو المستخدم لتسجيل الدخل باستخدام Microsoft 365. هذه الصفحة قد تمثل صفحة مزيفة من تسجيل الدخول للمنظمة المستهدفة
عند قيام المستخدم بالضغط على "Sign in with Microsoft"، سيتم إعادة التوجيه إلى الصفحة الخبيثة التي تقوم بسرقة اسم المستخدم وكلمة المرور. أداة Evilginx تعمل هنا باستخدام o365 phishlet لالتقاط معلومات الدخول لـ Microsoft 365.
في صفحة التصيد التي تعمل فيها أداة Evilginx، ستطلب الصفحة من المستخدم إدخال البريد الإلكتروني الخاص به.
بعد إدخال البريد، ستقوم أداة Evilginx بإرسال الطلب إلى صفحة Microsoft 365 الحقيقية للتأكد إذا كان البريد المدخل هو بريد صحيح أو لا قبل الطلب من المستخدم بإدخال كلمة المرور.
بعد إدخال المستخدم بريد إلكتروني صحيح، ستقوم أداة Evilginx بطلب المستخدم إدخال كلمة المرور للبريد.
صفحة التصيد تعمل الآن بالشكل المطلوب وجاهزة للاستخدام.
الآن، سنقوم بمحاكاة أحد المهاجمين بإرسال رابط صفحة التصيد إلى أحد ضحايا المنظمة التي تستخدم Microsoft 365 والتي تحتوي على حماية الـ Safe Links كجزء من Microsoft Defender for Office 365.
نقوم بإنشاء بريد التصيد وإرساله إلى الضحية
وصل بريد التصيد إلى صندوق الوارد لدى الضحية. ولكن، تم حذف بريد التصيد من صندوق الضحية بعد بضع دقائق، وقام مستخدم الـ Global Admin على Microsoft 365 باستلام تحذير عن هذا النشاط (قامت حماية الـ Safe Links بهذه العملية).
قام أيضاً Defender for Office 365 بتصنيف نطاق صفحة التصيد كصفحة خبيثة.
تجاوز حماية Safe Links
الآن، سنقوم بتجاوز هذه الحماية المقدمة من Microsoft Defender.
قمنا بنفس الخطوات التي في السيناريو الأول. وبما أن نطاق التصيد السابق قد تم تصنيفه كنطاق خبيث، قمنا باستخدام نطاق مختلف جديد لم يتم فحصه من قبل Microsoft Defender.
بما أننا نملك التحكم في خادم التصيد، سنقوم بحجب عناوين التعريف (IP addresses) الخاصة بـ Microsoft، تحديداُ عناوين التعريف التي تُستخدم من قبل حماية الـ Safe Links. قمنا باستخدام Apache لحجب عناوين التعريف كالتالي.
ملاحظة: هذه هي عناوين التعريف الخاصة بـ Microsoft في حين كتابة هذه المقالة. يمكن للمهاجمين استكشافها أثناء عملية تجميع المعلومات (information gathering) ويمكن استخدامها لفترات طويلة.
الآن، سنقوم بتجاوز هذه الحماية المقدمة من Microsoft Defender.
قمنا بنفس الخطوات التي في السيناريو الأول. وبما أن نطاق التصيد السابق قد تم تصنيفه كنطاق خبيث، قمنا باستخدام نطاق مختلف جديد لم يتم فحصه من قبل Microsoft Defender.
بما أننا نملك التحكم في خادم التصيد، سنقوم بحجب عناوين التعريف (IP addresses) الخاصة بـ Microsoft، تحديداُ عناوين التعريف التي تُستخدم من قبل حماية الـ Safe Links. قمنا باستخدام Apache لحجب عناوين التعريف كالتالي.
ملاحظة: هذه هي عناوين التعريف الخاصة بـ Microsoft في حين كتابة هذه المقالة. يمكن للمهاجمين استكشافها أثناء عملية تجميع المعلومات (information gathering) ويمكن استخدامها لفترات طويلة.
بعد القيام بحجب عناوين Microsoft التي تقوم حماية الـ Safe Links باستخدامها، سنقوم بإرسال بريد التصيد للضحية.
قام الضحية باستلام البريد والضغط على رابط التصيد.
بعد استلام الضحية بريد التصيد الذي يحتوي على الرابط الخبيث، استلم خادم الويب عدة طلبات من قبل Microsoft للقيام بفحص الرابط. ولكن تم حجب هذه الطلبات من قبل خادم الـ Apache بناءً على قواعد الحجب المعطاة. في هذه الحالة، لا يستطيع Microsoft Defender القيام بفحص الرابط لمحتويات خبيثة.
لم يقم Microsoft Defender بحجب الرابط، مازال يمكن للضحية الوصول لصفحة التصيد.
قام الضحية بإدخال بريده الإلكتروني بنجاح.
متبوعاً بكلمة المرور.
بعد إدخال الضحية البريد الإلكتروني وكلمة المرور الصحيحة، تقوم الصفحة بطلب الضحية إدخال أيضاً رمز التحقق المرسل على تطبيق الـ Authenticator للتحقق الثنائي (two-factor authentication).
الآن، قام الضحية بنجاح إدخال البريد الإلكتروني، كلمة المرور، ورمز التحقق الثنائي.
في أداة Evilginx، نحصل على المعلومات المُدخلة من قبل الضحية والتي تتضمن ملف تعريف الارتباط بالجلسة (session cookie)، والتي يمكن الآن استخدامها من قبل المهاجم للدخول إلى حساب الضحية على Microsoft 365 والدخول على أي خدمة تستخدم Microsoft 365 للمصادقة.
في أداة Evilginx، نحصل على المعلومات المُدخلة من قبل الضحية والتي تتضمن ملف تعريف الارتباط بالجلسة (session cookie)، والتي يمكن الآن استخدامها من قبل المهاجم للدخول إلى حساب الضحية على Microsoft 365 والدخول على أي خدمة تستخدم Microsoft 365 للمصادقة.
إلى هذه اللحظة، لم يقم Microsoft Defender بحذف بريد التصيد من صندوق الضحية، ولم يتم تصنيف رابط التصيد كرابط خبيث، ولم يستلم مستخدم الـ Global Admin أي تحذير من هذه العملية.
خاتمة
هذه المقالة استعرضت كيف يمكن للمهاجمين حجب عناوين التعريف لـ Microsoft للقيام بتجاوز حماية الـ Safe Links والقيام بنجاح بتنفيذ هجمة تصيد لسرقة معلومات الدخول للضحية وتجاوز حماية المصادقة للتحقق الثنائي (two-factor authentication). تقوم أيضاً بالتشديد بأهمية نشر الوعي عن التهديدات السيبرانية للمستخدمين كونها جزء أساسي لحماية المنظمة من التهديدات، وأن الاعتماد على التقنية فقط للحماية ليس كافي.
مراجع
خاتمة
هذه المقالة استعرضت كيف يمكن للمهاجمين حجب عناوين التعريف لـ Microsoft للقيام بتجاوز حماية الـ Safe Links والقيام بنجاح بتنفيذ هجمة تصيد لسرقة معلومات الدخول للضحية وتجاوز حماية المصادقة للتحقق الثنائي (two-factor authentication). تقوم أيضاً بالتشديد بأهمية نشر الوعي عن التهديدات السيبرانية للمستخدمين كونها جزء أساسي لحماية المنظمة من التهديدات، وأن الاعتماد على التقنية فقط للحماية ليس كافي.
مراجع
- https://github.com/kgretzky/evilginx2
- https://emtunc.org/blog/03/2017/bypassing-safe-links-exchange-online-advanced-threat-protection/
لمشاركة هذه المدونة
تابعنا
طور مهاراتك من خلال متابعة آخر منشورات فريقنا
مدونات آخرى