أظهر هجوم Stryker بوضوح أن الخطر في البيئات السحابية الحديثة لا يكون دائمًا في الفيروسات أو الثغرات المعقدة، بل قد يكون في أدوات الإدارة نفسها. فبدل أن يهاجم المهاجم كل جهاز على حدة، يكفيه أحيانًا أن يسيطر على منصة مركزية مثل Microsoft Intune، وعندها تصبح لديه القدرة على إرسال أوامر إلى آلاف الأجهزة من مكان واحد.
تعمل Microsoft Intune كمنصة مركزية لإدارة أجهزة المؤسسة، سواء كانت أجهزة Windows أو iPhone أو Android أو Mac. ومن خلال لوحة تحكم واحدة يستطيع فريق تقنية المعلومات فرض سياسات الأمان، نشر التطبيقات، إدارة التحديثات، التحكم في الوصول إلى الأنظمة، وحتى تنفيذ أوامر عن بعد مثل قفل الجهاز أو إعادة ضبطه أو مسحه بالكامل.
المشكلة الأمنية الجوهرية التي كشفتها هذه الحادثة هي أن السيطرة على Intune لا تعني السيطرة على أداة واحدة فقط، بل تعني فعليًا السيطرة على جميع الأجهزة المرتبطة بها. ولهذا السبب، عندما يصل مهاجم إلى بيئة الإدارة، يمكن أن تتحول المنصة من أداة حماية وتشغيل إلى أداة تدمير واسعة النطاق خلال وقت قصير جدًا.
🧭 كيف تم استغلال Intune في الهجوم؟
1️⃣ اختراق حساب إداري مرتبط بـ Intune
الخطوة الأولى في هذا النوع من الهجمات تكون عادة الوصول إلى حساب إداري عالي الصلاحيات داخل بيئة Microsoft 365 / Entra ID. هذا الحساب قد يكون Global Admin أو Intune Admin أو أي دور إداري آخر يسمح بالتحكم في إعدادات Intune وإدارة الأجهزة المسجلة.
بمجرد حصول المهاجم على هذا الحساب، يصبح بإمكانه الدخول إلى Intune Admin Center، وهي لوحة الإدارة التي تستخدمها المؤسسة لإدارة جميع أجهزتها. وهنا لا يحتاج المهاجم إلى اختراق كل هاتف أو لابتوب، لأن المنصة نفسها تمنحه نقطة تحكم مركزية.
2️⃣ السيطرة على لوحة إدارة Intune
داخل لوحة تحكم Microsoft Intune تظهر جميع الأجهزة المرتبطة بالمؤسسة، بما في ذلك الأجهزة الشخصية للموظفين إذا كانت خاضعة لسياسة BYOD ومسجلة للوصول إلى البريد أو التطبيقات المؤسسية. بمعنى آخر، يرى المهاجم من داخل اللوحة نفس ما يراه فريق تقنية المعلومات الشرعي.
هذه اللوحة لا تعرض الأجهزة فقط، بل تتيح أيضًا تنفيذ عمليات واسعة مثل:
- تطبيق سياسات أمنية جديدة
- نشر التطبيقات على عدد كبير من الأجهزة
- إدارة التحديثات والامتثال
- تنفيذ أوامر التحكم عن بعد
عند هذه المرحلة، تصبح Intune بالنسبة للمهاجم أشبه بـ مركز قيادة يدير المؤسسة رقميًا من شاشة واحدة.
3️⃣ استخدام ميزة Remote Wipe داخل Intune
من أهم الميزات الموجودة في Microsoft Intune ميزة Remote Wipe. هذه الميزة صُممت أصلًا لحماية المؤسسة في حالات مشروعة، مثل ضياع جهاز موظف أو سرقة هاتف يحتوي على بيانات عمل، بحيث يستطيع فريق تقنية المعلومات مسح الجهاز عن بعد لحماية المعلومات الحساسة.
لكن في هجوم Stryker تم استغلال هذه الميزة بصورة عكسية. فبدل استخدامها لحماية البيانات، استُخدمت كأداة هجومية لتنفيذ عملية مسح جماعية للأجهزة. أي أن المهاجم لم يحتج إلى بناء برمجية مدمرة خاصة، بل استخدم زرًا شرعيًا موجودًا داخل المنصة نفسها.
وهنا تكمن خطورة Intune: لأن الأمر إذا خرج من حساب موثوق داخل المنصة، فإن الأجهزة تتعامل معه على أنه أمر رسمي من قسم تقنية المعلومات.
4️⃣ تنفيذ المسح على الأجهزة تلقائيًا
عندما يكون الجهاز مسجلًا في Intune MDM فهو يثق بخادم الإدارة التابع للمؤسسة. لذلك عندما يستقبل أمرًا رسميًا من Intune مثل تحديث أو سياسة جديدة أو أمر مسح، فإنه ينفذه مباشرة لأنه يعتبره أمرًا شرعيًا.
ولهذا السبب نفذت أجهزة iPhone وAndroid وWindows المرتبطة بـ Intune أمر المسح تلقائيًا، من دون أن تحتاج العملية إلى تدخل من المستخدم أو إلى تثبيت برمجية خبيثة داخل كل جهاز.
النتيجة كانت واضحة: إعادة ضبط عدد كبير من الأجهزة إلى إعدادات المصنع خلال وقت قصير جدًا، وهو ما أدى إلى شلل عملي واسع وتأثير مباشر على المستخدمين والأعمال.
⚠️ لماذا يعتبر Intune هدفًا عالي الخطورة؟
تكمن خطورة Microsoft Intune في أنه لا يملك مجرد صلاحية عرض معلومات الأجهزة، بل يمتلك صلاحيات تنفيذية تمكّنه من التأثير المباشر على آلاف الأجهزة في وقت واحد. وكلما زاد عدد الأجهزة المرتبطة بالمنصة، زادت قيمة Intune كهدف للمهاجمين.
لهذا فإن اختراق حساب إداري واحد مرتبط بـ Intune قد يسمح للمهاجم بتنفيذ عمليات واسعة مثل:
- مسح الأجهزة أو إعادة ضبطها
- تعطيل سياسات الأمان
- إزالة التطبيقات أو الأدوات الأمنية
- نشر إعدادات تخريبية أو تعطيلية
ولهذا السبب ينظر كثير من خبراء الأمن اليوم إلى منصات MDM / UEM مثل Intune على أنها من أخطر نقاط التحكم في البنية الرقمية للمؤسسة، لأنها تجمع بين الرؤية المركزية والقدرة على التنفيذ الجماعي.
🛡️ كيف يمكن منع تكرار هذا النوع من الهجمات؟
1️⃣ تقييد صلاحيات Intune الحساسة
يجب ألا تكون صلاحيات تنفيذ أوامر Wipe أو العمليات الجماعية داخل Intune متاحة لعدد كبير من الأشخاص. كلما زاد عدد الحسابات القادرة على تنفيذ هذه الأوامر، زادت مساحة الخطر. لذلك من الأفضل حصر هذه الصلاحيات في أقل عدد ممكن من الحسابات الموثوقة.
كما يجب إزالة هذه القدرات من الأدوار العامة مثل Helpdesk أو الأدوار التي لا تحتاج فعليًا إلى صلاحيات تدميرية واسعة، لأن وجود هذه القدرة في غير مكانها الصحيح قد يحول أي اختراق بسيط إلى حادث كبير.
2️⃣ حماية الحسابات الإدارية المرتبطة بـ Intune
بما أن الهجوم يبدأ غالبًا من الهوية، فإن حماية الحسابات التي تصل إلى Intune Admin Center تعتبر أولوية قصوى. ويشمل ذلك:
- تفعيل MFA قوي
- استخدام Privileged Identity Management
- عدم وجود حسابات Global Admin دائمة
والفكرة هنا بسيطة: كلما أصبح الوصول الإداري أصعب وأكثر تقييدًا، أصبح من الصعب على المهاجم تحويل Intune إلى أداة هجومية.
3️⃣ مراقبة نشاط Intune بشكل مستمر
لا يكفي أن نمنع الهجوم فقط، بل يجب أيضًا أن نكون قادرين على اكتشافه بسرعة. ولهذا يجب تسجيل جميع العمليات التي تتم داخل Intune وربطها بأنظمة مراقبة مثل SIEM.
كما يجب إنشاء تنبيهات فورية عند حدوث أمور حساسة مثل:
- Mass device wipe
- تغييرات واسعة في السياسات
- إضافة حساب إداري جديد
- تفعيل صلاحيات عالية خارج أوقات العمل المعتادة
لأن التأخر في اكتشاف هذه الأحداث قد يعني أن الأوامر التدميرية وصلت بالفعل إلى آلاف الأجهزة قبل أن ينتبه أحد.
4️⃣ إعادة تصميم سياسات BYOD
عند استخدام الهواتف الشخصية للعمل، يفضل قدر الإمكان استخدام إدارة على مستوى التطبيقات فقط بدل منح Intune صلاحيات كاملة على الجهاز الشخصي. هذا يقلل من أثر أي اختراق محتمل، ويمنع أن يتحول الحادث المؤسسي إلى كارثة شخصية للموظف على هاتفه الخاص.
فكلما كانت الإدارة تركز على تطبيقات العمل وبيانات العمل فقط، كان الضرر المحتمل أقل إذا وقع سوء استخدام للصلاحيات.
5️⃣ إنشاء حسابات طوارئ
يجب أن تمتلك المؤسسة حسابات Break-Glass يمكن استخدامها لاستعادة السيطرة على بيئة Intune إذا تم اختراق الحسابات الإدارية الأساسية أو تعطلت سياسات الوصول المعتادة.
هذه الحسابات يجب أن تكون محمية جيدًا، محفوظة بطريقة منفصلة، ومختبرة بشكل دوري، لأن قيمتها الحقيقية تظهر في لحظة الأزمة عندما تصبح كل المسارات العادية غير متاحة.
الخلاصة
أثبت هجوم Stryker أن السيطرة على منصة مثل Microsoft Intune قد تكون أخطر من اختراق آلاف الأجهزة بشكل مباشر. فبدل أن يهاجم المهاجم كل جهاز على حدة، يكفيه أن يسيطر على لوحة الإدارة المركزية التي تتحكم في هذه الأجهزة كلها.
ولهذا أصبح تأمين منصات إدارة الأجهزة مثل Intune أحد أهم عناصر الأمن السيبراني في المؤسسات الحديثة. فكلما كانت الهوية الإدارية محمية، والصلاحيات الحساسة مقيدة، والمراقبة فعالة، قلت فرصة أن تتحول المنصة من أداة إدارة إلى أداة تدمير.