ایک نیا قسم کا سائبر حملہ
ادارے برسوں سے اپنی سیکیورٹی میں صرف مضبوط لاگ اِن سسٹمز (Authentication) پر توجہ دے رہے ہیں — جیسے کہ ایم ایف اے (MFA)، پاس ورڈ لیس لاگ اِن، اور زیرو ٹرسٹ آرکیٹیکچر۔
لیکن جب سیکیورٹی ٹیمیں لاگ اِن کو محفوظ بنا رہی تھیں، حملہ آوروں نے اپنی توجہ بدل لی — اب وہ دیکھ رہے ہیں کہ صارف لاگ اِن کے بعد کیا کر سکتا ہے۔
آج کی حقیقت یہ ہے کہ
“کلاؤڈ بریک کوئی ہیک نہیں — بلکہ ایک لاگ اِن ہے۔”
اور یہی بات سائبر حملوں کے انداز کو بدل رہی ہے۔
ایک سیکیورٹی افسر کا چیلنج
ذرا تصور کریں کہ آپ کسی بڑے ادارے کے چیف انفارمیشن سیکیورٹی آفیسر (CISO) ہیں۔
آپ کی ٹیم نے دو ملین ڈالر کی لاگت سے جدید اینڈ پوائنٹ ڈیٹیکشن سسٹم نصب کیا ہے۔
پورے ادارے میں MFA فعال ہے۔
پرانے سسٹمز ختم کر کے آپ نے ایک زیرو ٹرسٹ ماڈل پر کام شروع کر دیا ہے، جس میں آن پریمیس اور SaaS ایپلیکیشنز ایک ہی شناختی نظام (Identity Provider) سے منسلک ہیں۔
پھر ایک دن سی ای او کی کال آتی ہے —
ایک صحافی نے پوچھا ہے کہ آپ کا کسٹمر ڈیٹا BreachForums پر فروخت کے لیے کیوں موجود ہے؟
یہ کسی خطرناک زیرو ڈے یا ملک دشمن حملے کا نتیجہ نہیں —
یہ صرف اس اجازت (Authorization) کا غلط استعمال ہے جو آپ نے اپنے ملازمین اور پارٹنرز کو خود دی ہوئی ہے۔
جب اجازت ہی حملہ بن جائے
جب ہم نے اپنے سسٹمز، ڈیوائسز، اور نیٹ ورک کو مضبوط بنایا، حملہ آوروں نے شناختی نظام (Identity Systems) کو نشانہ بنانا شروع کیا۔
Scattered Spider, LAPSUS$, اور ShinyHunters جیسے گروہ اب فائر وال نہیں توڑتے — بلکہ وہ انہی اجازتوں (permissions) کو استعمال کرتے ہیں جو ادارے نے خود بنائی ہوتی ہیں۔
مشہور کمپنیوں جیسے Marks & Spencer, Aflac, The North Face, اور Cartier پر ہونے والے حالیہ حملوں میں ایک چیز مشترک ہے:
یہ سب Authorization Sprawl کا شکار ہوئے۔
Authorization Sprawl کیا ہے؟
Authorization Sprawl اس وقت پیدا ہوتا ہے جب مختلف ٹیموں کو مختلف سسٹمز تک رسائی دی جاتی ہے — بغیر یہ سوچے کہ مجموعی طور پر ان سب اجازتوں کا نتیجہ کیا ہوگا۔
ہر ڈیپارٹمنٹ کو اپنے کام کے لیے کچھ نہ کچھ چاہیئے ہوتا ہے:
•مارکیٹنگ کو Salesforce،
•انجینئرنگ کو GitHub،
•فنانس کو NetSuite،
•آپریشنز کو Jira اور Confluence،
•آئی ٹی کو SSO (Single Sign-On) تاکہ سب آسانی سے جڑ جائیں۔
ہر فیصلہ الگ دیکھنے میں درست لگتا ہے،
لیکن مجموعی طور پر یہ ایک انتہائی پیچیدہ جال بن جاتا ہے جہاں ایک صارف کے پاس درجنوں پلیٹ فارمز تک بیک وقت رسائی ہوتی ہے۔
ایک صارف صبح Okta میں لاگ اِن کرتا ہے — اور اسی لمحے اسے Microsoft 365, Google Workspace, AWS, اور 40 سے زیادہ SaaS ایپلیکیشنز تک رسائی مل جاتی ہے۔
یہی جال حملہ آوروں کے لیے آسان راستہ بن جاتا ہے۔
نیا حملے کا طریقہ
پہلے روایتی حملے کچھ اس طرح ہوتے تھے:
1.ابتدائی رسائی حاصل کرنا
2.میل ویئر لگانا
3.پرولیجز بڑھانا
4.نیٹ ورک میں حرکت کرنا
5.ڈیٹا چوری کرنا
اب منظر بدل چکا ہے۔
Authorization Sprawl کے ساتھ، حملہ آور کو بس ایک درست ٹوکن یا سیشن کوکی چاہیے۔
وہ کسی کا OAuth Token, AWS Key یا SSO سیشن چرا کر پورے سسٹم تک پہنچ جاتا ہے —
بغیر کسی MFA کو توڑے یا الرٹ پیدا کیے۔
روایتی سیکیورٹی کیوں ناکام ہے
ہمارے موجودہ حفاظتی نظام — جیسے EDR, SIEM, Network Monitoring اور MFA — سب پرانے طرز کے حملوں کے لیے بنائے گئے ہیں۔
لیکن Authorization Sprawl والے حملے بالکل نارمل نظر آتے ہیں۔
مثلاً اگر حملہ آور Chrome کے ذریعے ServiceNow تک رسائی حاصل کرے،
تو سیکیورٹی سسٹم بس اتنا دیکھتا ہے کہ chrome.exe service-now.com سے TLS کنکشن بنا رہا ہے —
یعنی روزمرہ کی معمولی کارروائی۔
ایم ایف اے صرف لاگ اِن کے لمحے کی حفاظت کرتا ہے —
لیکن سیشن ٹوکنز اور کوکیز کے بعد والا مرحلہ محفوظ نہیں ہوتا۔
ایک بار جب وہ ٹوکن کسی کے ہاتھ لگ جائے، وہ پورے سسٹم میں آزادانہ حرکت کر سکتا ہے۔
Authorization Sprawl سے بچاؤ کے طریقے
اب صرف مضبوط لاگ اِن پر توجہ دینا کافی نہیں۔
اداروں کو اجازتوں کے پیچیدہ نظام (Authorization Complexity) کو بھی سنجیدگی سے لینا ہوگا۔
1. اپنے Cross-Cloud Privilege Paths کو میپ کریں
آپ وہ چیز محفوظ نہیں کر سکتے جسے آپ دیکھ ہی نہیں سکتے۔
ایسے ٹولز جیسے BloodHound اور اس کے OpenGraph Extensions استعمال کریں تاکہ معلوم ہو سکے کہ مختلف پلیٹ فارمز پر اجازتیں کیسے ایک دوسرے سے جڑی ہوئی ہیں۔
2. SaaS لاگنگ بہتر بنائیں
زیادہ تر SaaS پلیٹ فارمز ناقص یا محدود لاگنگ فراہم کرتے ہیں۔
ہر نئے کنٹریکٹ یا RFP میں جامع لاگنگ کو لازمی شرط بنائیں۔
یہ لاگز اپنے تھریٹ ہنٹنگ (Threat Hunting) سسٹم سے جوڑیں تاکہ کسی بھی مشتبہ ایکٹیویٹی کو جلدی پہچانا جا سکے۔
3. Browser Visibility حاصل کریں
اب براؤزر ہی نیا “اینڈ پوائنٹ” بن چکا ہے۔
ایسے Browser Security Tools استعمال کریں جو غیر معمولی رویہ پہچان سکیں —
مثلاً کوئی صارف عام طور پر پانچ Salesforce ریکارڈ دیکھتا ہے، لیکن اچانک ہزاروں فائلیں ڈاؤن لوڈ کرنے لگے،
تو فوراً الرٹ ملنا چاہیے۔
ایک نیا لائحہ عمل
حملہ آور پہلے ہی بدل چکے ہیں۔
اب وہ انہی SSO کنیکشنز، OAuth Tokens، اور Cross-Platform Permissions کو ہتھیار بنا رہے ہیں جنہیں ہم نے کارکردگی کے لیے بنایا تھا۔
اب وقت آ گیا ہے کہ دفاع بھی بدلے —
Attack Path Analysis, SaaS Threat Visibility اور Browser-Level Detection کے ساتھ۔
کیونکہ آج کے دور میں حملہ کسی سسٹم سے نہیں شروع ہوتا —
بلکہ ایک لاگ اِن سے شروع ہوتا ہے۔
سورس
https://www.sans.org/blog/authorization-sprawl-hidden-vulnerability-reshaping-modern-cyberattacks
