Storm-2949 zneužívá resetování hesla Microsoft 365 k odčerpání cloudových dat

Storm-2949 zneužívá resetování hesla Microsoft 365 k odčerpání cloudových dat

Microsoft zveřejnil podrobnosti o sofistikované vícestupňové kampani prováděné aktérem hrozeb označovaným jako Storm-2949, který cílí na organizace používající prostředí Microsoft 365 a Azure. Na tomto cloudovém útoku pomocí přihlašovacích údajů na Microsoft 365 je obzvlášť zarážející vstupní bod: funkce, kterou většina správců považuje za rutinní a málo rizikovou, konkrétně samoobslužné resetování hesla (SSPR). Jakmile se útočníci dostali dovnitř, v tichosti se pohybovali přes OneDrive, SharePoint a SQL databáze a extrahovali vysoce hodnotná data dříve, než byli odhaleni.

Tato kampaň je důrazným připomenutím, že cloudové platformy jsou jen tak bezpečné, jako konfigurace a předpoklady, které je obklopují.

Jak Storm-2949 zneužil samoobslužné resetování hesla jako zbraň

Samoobslužné resetování hesla je široce nasazená funkce pro pohodlí. Umožňuje zaměstnancům znovu získat přístup k účtu, aniž by kontaktovali IT, čímž snižuje zátěž technické podpory a výpadky. Většina bezpečnostních týmů ji považuje za neškodnou. Storm-2949 ji považoval za dveře.

Zneužitím funkce SSPR dokázal aktér hrozeb kompromitovat identity uživatelů, aniž by musel prolamovat hesla hrubou silou nebo nasazovat malware. Útok využil slabiny v tom, jak je SSPR konfigurováno nebo ověřováno, a umožnil skupině převzít kontrolu nad legitimními účty. Jakmile byly přihlašovací údaje resetovány a přístup byl vytvořen, útočníci splynuli s běžnou uživatelskou aktivitou, což významně ztížilo detekci chování.

Tento přístup je pozoruhodný, protože obchází mnoho signálů, které nástroje pro zabezpečení koncových bodů mají za cíl zachytit. Neexistuje žádný škodlivý spustitelný soubor, žádné podezřelé stahování, žádný zjevný otisk vniknutí. Útočník se jednoduše přihlásí jako platný uživatel.

Jaká data byla vystavena – a proč je cloudové úložiště vysoce hodnotným cílem

Po získání počátečního přístupu se Storm-2949 pohyboval ekosystémem Microsoft 365 a Azure s jasným cílem: extrahovat co nejvíce vysoce hodnotných dat. Primárními cíli byly OneDrive a SharePoint, používané ve většině podnikových prostředí pro ukládání dokumentů a spolupráci. Byly také zpřístupněny a exfiltrovány SQL databáze připojené k infrastruktuře Azure.

Rozsah toho, co moderní organizace v těchto službách ukládají, je činí jasným cílem pro sofistikované aktéry hrozeb. Obchodní smlouvy, finanční záznamy, data zákazníků, interní komunikace a vlastní výzkum – to vše často žije v SharePointu nebo na OneDrivu. SQL databáze připojené k Azure často obsahují strukturovaná provozní data, která lze zpeněžit nebo použít k následným útokům.

Tento vzorec se velmi podobá tomu, co bylo pozorováno u jiných rozsáhlých incidentů sběru přihlašovacích údajů. Vishingový útok ShinyHunters, který odhalil 40 milionů záznamů Charter Communications se řídil podobnou logikou: získat legitimně vypadající přístup a poté extrahovat co nejvíce dat, než obránci zareagují. Cloudové úložiště konsoliduje obrovskou hodnotu na jednom místě, což je přesně to, co z něj dělá cíl.

Proč útoky založené na přihlašovacích údajích obcházejí tradiční obranu

Tradiční bezpečnostní architektura byla postavena na myšlence, že útočníci se dovnitř dostávají násilím. Zneužívají zranitelnosti softwaru, nasazují malware nebo zachytávají síťový provoz. Perimetrická obrana, antivirové nástroje a systémy detekce vniknutí byly navrženy tak, aby tyto chování zachytily.

Útoky založené na přihlašovacích údajích tento předpoklad obracejí. Útočník se dovnitř nevloupá, vejde. Když Storm-2949 použije SSPR k převzetí kontroly nad legitimním účtem, každá následná akce vypadá, jako by normálně pracoval daný uživatel. Protokoly přístupu k souborům ukazují rozpoznanou identitu. Síťový provoz pochází z očekávaných služeb. Limity výstrah naladěné na zachycení anomálního chování se nemusí nikdy spustit.

To je stejná kategorie rizika, která činí zranitelnosti prohlížečů a platforem tak nebezpečnými. Výzkumníci na Pwn2Own Berlin 2026 ukázali, jak lze zero-day zranitelnosti Windows 11 a Edge zřetězit k získání hlubokého systémového přístupu, a ilustrovali tak, že i důvěryhodné mainstreamové platformy nesou zneužitelné slabiny. Kampaň Storm-2949 ukazuje, že infrastruktura cloudové identity nese stejnou kategorii rizika.

Jakmile si útočníci vytvoří opěrný bod prostřednictvím identity, nikoli zneužitím zranitelností, je omezení škody výrazně složitější.

Praktická zmírnění: MFA, auditní protokoly a chytřejší konfigurace cloudu

Kampaň Storm-2949 poukazuje na konkrétní kroky, které mohou organizace i jednotlivci podniknout ke snížení expozice.

Auditujte svou konfiguraci SSPR. Pokud je samoobslužné resetování hesla povoleno, ověřte, jaké ověřovací metody jsou vyžadovány. Možnosti obnovy přes telefon lze zachytit nebo sociálně inženýrsky zneužít. Vyžadování více faktorů nebo omezení SSPR pouze na spravovaná zařízení výrazně zvyšuje laťku pro útočníky.

Vynucujte vícefaktorové ověřování odolné vůči phishingu napříč všemi účty. Standardní vícefaktorové ověřování pomocí SMS nabízí skutečnou ochranu, ale zůstává zranitelné vůči výměně SIM karet a určitým technikám sociálního inženýrství. Hardwarové bezpečnostní klíče nebo autentizátory v aplikacích využívající standardy FIDO2 je podstatně těžší zneužít.

Prověřte zásady podmíněného přístupu. Microsoft 365 i Azure nabízejí řízení podmíněného přístupu, které mohou omezit přihlášení na základě souladu zařízení, umístění a rizikových signálů. Mnoho organizací má tyto funkce k dispozici, ale nevyužívá je.

Monitorujte anomální vzory přístupu k datům. I když útočník používá legitimní přihlašovací údaje, přístup ke stovkám dokumentů SharePointu nebo stahování velkých objemů souborů na OneDrivu v krátkém časovém okně by mělo spustit výstrahy. Konfigurace Microsoft Defender for Cloud Apps nebo ekvivalentních monitorovacích nástrojů k označování hromadného přístupu k datům je praktickou vrstvou detekce.

Zvažte ochranu na úrovni sítě pro přístup ke cloudu. Použití VPN k vynucení, aby přístup ke cloudovým službám probíhal pouze přes známé, monitorované síťové cesty, může pomoci omezit útočnou plochu pro zneužití přihlašovacích údajů z neznámých lokalit.

Co to znamená pro vás

Ať už spravujete rozsáhlé podnikové prostředí nebo používáte Microsoft 365 osobně k práci, kampaň Storm-2949 ukazuje, že zabezpečení cloudu není standardně zapnutá funkce. Platformy jako Microsoft 365 a Azure poskytují výkonné bezpečnostní nástroje, ale tyto nástroje vyžadují záměrnou konfiguraci a průběžné monitorování, aby byly účinné.

Pokud vaše organizace spoléhá na cloudové úložiště pro citlivá data, nyní je čas na audit vašich kontrol identity a přístupu. Konkrétně prověřte, kdo má SSPR povoleno, jak je ověřováno, zda je MFA důsledně vynucováno a zda je aktivní monitorování přístupu k datům.

Právě předpoklad, že platforma automaticky zajišťuje bezpečnost, je postoj, který tato kampaň zneužila. Několik hodin strávených prověřením přístupových kontrol je mnohem menší náklad než zjištění, že vaše data na OneDrivu či SharePointu byla v tichosti exfiltrována během dnů nebo týdnů.