قامت مجموعة Storm-0501 باستخدام حسابات مزامنة الدليل (DSAs) المسروقة لتعداد المستخدمين والأدوار وموارد Azure عبر أدوات مثل AzureHound. وفي النهاية اكتشف المهاجمون حساب مسؤول عام (Global Administrator) لم يكن مفعَّلًا فيه المصادقة متعددة العوامل (MFA)، مما أتاح لهم إعادة تعيين كلمة مروره والحصول على تحكم إداري كامل. وبهذه الصلاحيات، أنشأوا آلية للاحتفاظ بالوصول (Persistence) عن طريق إضافة نطاقات اتحادية ضارة (malicious federated domains) تحت سيطرتهم، وهو ما مكنهم من انتحال هوية أي مستخدم تقريبًا وتجاوز حماية المصادقة متعددة العوامل. وتقول مايكروسوفت إنهم وسّعوا وصولهم داخل Azure أكثر من خلال إساءة استخدام الصلاحية: Microsoft.Authorization/elevateAccess/action والتي سمحت لهم في النهاية بتعيين أنفسهم في أدوار المالك (Owner)، وبذلك استحوذوا فعليًا على بيئة Azure الخاصة بالضحية بالكامل.
اتصل بنا : 0915579536
أو على الموقع الإلكتروني digitalonion.ly
ويمكنكم زيارتنا في موقع الشركة : طرابس-حي الاندلس-بجانب السفارة العراقية
الموقع على الخرائط
اترك تعليقاً