יועץ אבטחת מידע   |   אפריל 21, 2025

כיצד תוקפים עוקפים אימות דו־שלבי ונכנסים דרך דלת צדדית של Microsoft 365?

גם אם הפעלתם אימות דו־שלבי בארגון – ייתכן שלא סגרתם את כל הפינות. קראו כיצד תוקפים מנצלים את Microsoft Graph API כדי לעקוף את ההגנות ולשלוף נתונים רגישים.

כיצד תוקפים משתמשים ב־Microsoft Graph API לחשיפת מידע

תוקפים עוקפים אימות דו־שלבי וניגשים לנתונים רגישים

ארגונים רבים אימצו את Microsoft 365 כפלטפורמה מרכזית לעבודה יומיומית תוך הסתמכות על מנגנוני אבטחה כמו אימות דו־שלבי (2FA) כדי להגן על הנתונים שלהם. אימות דו־שלבי הוא אחת השכבות החשובות ביותר במערך האבטחה המודרני, ומטרתו להבטיח שגם במקרה של גניבת סיסמה, התוקף לא יוכל לגשת לחשבון ללא הזדהות נוספת. במאמר זה נחשוף כיצד תוקפים יכולים לעקוף את ההגנות של 2FA ולגנוב מידע רגיש כמו רשימת כל המשתמשים בארגון.

הבעיה הנסתרת במנגנון האבטחה

כש־2FA מופעל – אך לא מכסה את כל נקודות הכניסה

כאשר ארגון מפעיל אימות דו־שלבי ב־Microsoft 365, המשתמשים נדרשים לעבור שלב אימות נוסף, כגון קוד שנשלח ב־SMS, אפליקציית אימות (Authenticator) או שיחת טלפון, לפני שיוכלו לגשת לשירותים כמו Outlook ,Teams או ממשק הניהול של Azure.
מה שרבים אינם מודעים לו הוא ש־2FA לא בהכרח חל על כל נקודות הגישה למערכת.
אחת הדוגמאות הבולטות לכך היא Microsoft Graph API – ממשק API המאחד גישה למידע ושירותים במערכת Microsoft 365 וב־Azure Active Directory.
Graph API נועד לאפשר למפתחים לבצע פעולות כמו שליפת נתונים, ניהול משתמשים והרצת אוטומציות, למשל להוציא רשימת משתמשים מלאה, כולל תפקידים, כתובות דוא"ל ופרטים נוספים.
לעיתים תוקפים מצליחים להשיג את פרטי ההתחברות של משתמש, אך נחסמים בעת ניסיון כניסה עקב אימות דו־שלבי. עם זאת, הם מצליחים לעקוף את ההגנה הזו באמצעות Microsoft Graph API ולשלוף מידע רגיש מהמערכת בלי להידרש לאימות נוסף.

תרחיש התקיפה – כך זה קורה בפועל

כיצד תוקפים משתמשים בבקשות API כדי לשלוף מידע

תרחיש התקיפה פשוט יותר ממה שנדמה. נניח שתוקף מצליח להשיג פרטי התחברות של משתמש בארגון באמצעות מתקפת Brute Force או פישינג (דיוג). אם אימות דו־שלבי מוגדר בצורה חלקית או שאינו חל על כל נקודות הגישה ובפרט על Microsoft Graph API, התוקף עשוי לנצל זאת לתשאול Graph API באמצעות שליחת בקשות כמו:
GET https://graph.microsoft.com/v1.0/users.
קריאה כזו יכולה להחזיר רשימה של כלל המשתמשים בארגון, ובכלל זה שמות, תפקידים, כתובות דוא"ל ופרטים נוספים, בהתאם להרשאות של החשבון שנעשה בו שימוש.
במקרים מסוימים, כאשר מדובר בחשבון עם הרשאות ניהול, ייתכן שהתוקף יוכל לבצע גם פעולות נוספות, כמו שינוי הגדרות, יצירת משתמשים חדשים או שליפת קבצים המאוחסנים בענן.
דוגמה לכך ניתן למצוא בארגונים המשתמשים בהגדרות Security Defaults – הגדרות ברירת מחדל שמופעלות ב־Microsoft Entra ID בגרסה החינמית. הגדרות אלו מפעילות אימות דו־שלבי, אך אינן כוללות מדיניות גישה מותנית (Conditional Access) שזמינה רק ברישיונות Premium.
כתוצאה מכך, נוצר חוסר שליטה ספציפי על גישה ל־Microsoft Graph API.

מקרה לקוח

במהלך מבדק חדירה חיצוני שבוצע עבור אחד מלקוחותינו, הצליח מומחה אבטחת מידע להשיג את פרטי ההתחברות של כמה משתמשים. למרות זאת, הניסיון להיכנס לחשבונות דרך פורטל Microsoft 365 נחסם בזכות הפעלת אימות דו־שלבי על החשבונות.
אלא שכאן התגלה פער אבטחה של ממש, והתוקף הצליח בכל זאת לשלוף מידע רגיש מתוך Azure Active Directory, ללא צורך באימות נוסף.
בבדיקה מעמיקה יותר נמצא שאחד המפתחים בארגון יצר אפליקציה פנימית שנועדה להתחבר לשירותי Microsoft 365 באמצעות Microsoft Graph API. האפליקציה הוגדרה לפעול עם הרשאות גישה דרך קבוצה מסוימת של משתמשים, אך בלי להחיל עליה מדיניות 2FA.
כתוצאה מכך, כל משתמש שהיה חבר באותה קבוצה, כולל אלו שפרטיהם נחשפו, היה יכול לבצע תשאול Graph API ולשלוף נתונים מתוך Azure AD, כגון רשימות משתמשים, תפקידים ופרטי חשבונות נוספים.

המלצות מאת מומחי אבטחת המידע של IPV Security:

  1. הפעלת Conditional Accessהגדרת מדיניות שתדרוש אימות דו־שלבי גם עבור גישה ל־Graph API, ולא רק לשירותים כמו דוא"ל או Teams.
  2. בדיקת הרשאות – וידוא שחשבונות עם גישה ל־Graph API מוגבלים למינימום הנדרש ושאין הרשאות מיותרות שיכולות להוות פתח לתקיפה.
  3. ביצוע מבדקי חדירות תקופתיים – מבדקים אלו מאפשרים לחשוף חולשות אבטחה, כמו העדר אימות דו־שלבי בתשאול Graph API, לצורך טיפול מוקדם בסגירת פרצות ולפני שתוקף אמיתי ינצל אותן.

לסיכום,

אימות דו־שלבי הוא שכבת הגנה קריטית שחייבת להיות מיושמת באופן מקיף ובלתי מתפשר בכל גישה לשירותי ארגון כמו חשבונות Microsoft 365, Graph API ועוד. מדובר במחסום חיוני שמבטיח כי גם אם סיסמה נחשפת, הגישה הבלתי מורשית תיחסם.
יש להפנים כי כל החרגה בהגנה זו, עלולה לשמש נקודת תורפה שתוביל לפריצה לארגון או דלף מידע רגיש. לכן אכיפה עקבית של אימות דו־שלבי, ללא יוצאים מן הכלל, היא לא רק המלצה, אלא הכרח לאבטחת המידע הארגוני בעידן שבו איומי הסייבר הולכים ומתעצמים.

מעוניינים לבצע מבדקי חדירה תשתיתיים ואפליקטיביים? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון
077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים
ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה