Storm-2949 използва нулиране на парола в Microsoft 365, за да източи облачни данни

Storm-2949 използва нулиране на парола в Microsoft 365, за да източи облачни данни

Microsoft публикува подробности за сложна многоетапна кампания, проведена от заплаха, проследявана като Storm-2949, насочена към организации, работещи с Microsoft 365 и Azure среди. Това, което прави тази атака с облачни идентификационни данни в Microsoft 365 особено поразителна, е входната точка: функция, която повечето администратори считат за рутинна и с нисък риск, а именно самостоятелното нулиране на парола (SSPR). Веднъж проникнали, нападателите се придвижвали тихо през OneDrive, SharePoint и SQL бази данни, извличайки високоценни данни преди откриване.

Тази кампания е остър напомнящ, че облачните платформи са толкова сигурни, колкото конфигурациите и предположенията, изградени около тях.

Как Storm-2949 превърна самостоятелното нулиране на парола в оръжие

Самостоятелното нулиране на парола е широко внедрена функция за удобство. Тя позволява на служителите да възстановят достъпа до акаунта си, без да се свързват с ИТ отдела, намалявайки натоварването на помощния център и престоя. Повечето екипи по сигурността я считат за безобидна. Storm-2949 я третира като врата.

Чрез злоупотреба с функционалността на SSPR, заплахата успя да компрометира потребителски идентичности, без да е необходимо да разбива пароли чрез груба сила или да разгръща злонамерен софтуер. Атаката се възползва от слабости в начина, по който SSPR е конфигурирана или потвърдена, позволявайки на групата да поеме контрол над легитимни акаунти. След като идентификационните данни бяха нулирани и достъпът установен, нападателите се сляха с нормалната потребителска активност, което направи откриването по поведение значително по-трудно.

Този подход е забележителен, защото заобикаля много от сигналите, които инструментите за сигурност на крайните точки са проектирани да улавят. Няма зловреден изпълним файл, няма подозрително изтегляне, няма очевиден подпис за проникване. Нападателят просто влиза като валиден потребител.

Какви данни бяха изложени – и защо облачното хранилище е високоценна цел

След като получи първоначален достъп, Storm-2949 се придвижи през екосистемата на Microsoft 365 и Azure с ясна цел: да извлече възможно най-много високоценни данни. OneDrive и SharePoint, използвани в повечето корпоративни среди за съхранение на документи и сътрудничество, бяха основни цели. SQL бази данни, свързани с инфраструктурата на Azure, също бяха достъпвани и източвани.

Мащабът на това, което съвременните организации съхраняват в тези услуги, ги прави очевиден фокус за напреднали заплахи. Бизнес договори, финансови записи, клиентски данни, вътрешни комуникации и собствени проучвания често се намират в SharePoint или OneDrive. SQL базите данни, свързани с Azure, често съдържат структурирани оперативни данни, които могат да бъдат монетизирани или използвани за последващи атаки.

Този модел наподобява много наблюдаваното при други мащабни инциденти със събиране на идентификационни данни. Атаката с vishing от ShinyHunters, която изложи 40 милиона записа на Charter Communications следваше подобна логика: придобиване на легитимно изглеждащ достъп, след което извличане на възможно най-много данни, преди защитниците да реагират. Облачното хранилище обединява огромна стойност на едно място, което точно го прави цел.

Защо атаките чрез идентификационни данни заобикалят традиционните защити

Традиционната архитектура на сигурността е изградена около идеята, че нападателите проникват насилствено. Те експлоатират софтуерни уязвимости, разгръщат зловреден софтуер или прихващат мрежов трафик. Периметровите защити, антивирусните инструменти и системите за откриване на проникване са проектирани да улавят тези поведения.

Атаките чрез идентификационни данни обръщат това предположение. Нападателят не прониква; влиза. Когато Storm-2949 използва SSPR, за да поеме контрол над легитимен акаунт, всяко последващо действие изглежда като нормална работа на този потребител. Логовете за достъп до файлове показват разпозната самоличност. Мрежовият трафик идва от очаквани услуги. Праговете за алармиране, настроени да улавят аномално поведение, може никога да не се задействат.

Това е същата категория риск, която прави уязвимостите на браузъри и платформи толкова опасни. Изследователите на Pwn2Own Berlin 2026 демонстрираха как нулевите дни за Windows 11 и Edge могат да бъдат свързани, за да се получи дълбок системен достъп, илюстрирайки, че дори доверени, масови платформи носят експлоатируеми слабости. Кампанията на Storm-2949 показва, че инфраструктурата за облачна идентичност носи същата категория риск.

След като нападателите установят опорна точка чрез идентичност, а не чрез експлойти, ограничаването става значително по-сложно.

Практически мерки за смекчаване: МФА, одитни логове и по-интелигентна облачна конфигурация

Кампанията Storm-2949 сочи към конкретни стъпки, които организациите и отделните лица могат да предприемат, за да намалят излагането си.

Проверете конфигурацията на SSPR. Ако самостоятелното нулиране на парола е активирано, проверете какви методи за потвърждение се изискват. Опциите за възстановяване чрез телефон могат да бъдат прихванати или социално инженерствани. Изискването на множество фактори или ограничаването на SSPR само до управлявани устройства значително повишава летвата за нападателите.

Налагайте устойчива на фишинг МФА за всички акаунти. Стандартната многофакторна автентикация чрез SMS предлага реална защита, но остава уязвима за подмяна на SIM карта и определени тактики за социално инженерство. Хардуерните ключове за сигурност или базираните на приложение автентикатори, използващи стандарти FIDO2, са значително по-трудни за злоупотреба.

Прегледайте политиките за условен достъп. Microsoft 365 и Azure предлагат контроли за условен достъп, които могат да ограничават входовете въз основа на съответствие на устройството, местоположение и рискови сигнали. Много организации разполагат с тези функции, но не ги използват.

Наблюдавайте за аномални модели на достъп до данни. Дори когато нападателят използва легитимни идентификационни данни, достъпът до стотици документи в SharePoint или изтеглянето на големи обеми файлове от OneDrive за кратък период трябва да задействат аларми. Конфигурирането на Microsoft Defender for Cloud Apps или еквивалентни инструменти за наблюдение, които да маркират масов достъп до данни, е практически слой за откриване.

Обмислете защити на мрежово ниво за достъп до облака. Използването на VPN, за да се наложи достъпът до облачни услуги да се осъществява само през известни, наблюдавани мрежови пътища, може да помогне за ограничаване на повърхността за атака при злоупотреба с идентификационни данни от непознати местоположения.

Какво означава това за вас

Независимо дали управлявате голяма корпоративна среда, или използвате Microsoft 365 лично за работа, кампанията на Storm-2949 показва, че облачната сигурност не е включена по подразбиране. Платформи като Microsoft 365 и Azure предоставят мощни инструменти за сигурност, но тези инструменти изискват целенасочена конфигурация и постоянно наблюдение, за да бъдат ефективни.

Ако вашата организация разчита на облачно хранилище за чувствителни данни, сега е моментът да проверите своите контроли за идентичност и достъп. По-конкретно, прегледайте кой има активиран SSPR, как се потвърждава, дали МФА се налага последователно и дали наблюдението на достъпа до данни е активно.

Предположението, че платформата се справя със сигурността автоматично, е точно позицията, която тази кампания използва. Няколко часа, прекарани в преглед на контролите за достъп, са далеч по-малка цена от откритието, че данните ви в OneDrive или SharePoint са били тихо източвани в продължение на дни или седмици.