Storm-2949 udnytter Microsoft 365-adgangskodenulstilling til at tømme clouddata

Storm-2949 udnytter Microsoft 365-adgangskodenulstilling til at tømme clouddata

Microsoft har offentliggjort detaljer om en sofistikeret flertrins-kampagne udført af en trusselsaktør, der spores som Storm-2949, og som er rettet mod organisationer, der anvender Microsoft 365- og Azure-miljøer. Hvad der gør dette cloud-legitimationsangreb på Microsoft 365 særligt opsigtsvækkende, er indgangsvejen: en funktion, som de fleste administratorer betragter som rutinepræget og med lav risiko – nemlig selvbetjeningsadgangskodenulstilling (SSPR). Når først de var inde, bevægede angriberne sig lydløst gennem OneDrive, SharePoint og SQL-databaser og udtrak data af høj værdi, før de blev opdaget.

Denne kampagne er en påmindelse om, at cloudplatforme kun er så sikre som de konfigurationer og antagelser, der er bygget op omkring dem.

Hvordan Storm-2949 våbenbrugte selvbetjeningsadgangskodenulstilling

Selvbetjeningsadgangskodenulstilling er en bredt anvendt bekvemmelighedsfunktion. Den giver medarbejdere mulighed for at genvinde adgang til deres konto uden at kontakte it-afdelingen, hvilket reducerer belastningen på helpdesken og nedetid. De fleste sikkerhedsteams betragter den som harmløs. Storm-2949 betragtede den som en dør.

Ved at misbruge SSPR-funktionaliteten kunne trusselsaktøren kompromittere brugeridentiteter uden at skulle knække adgangskoder via brute force eller udrulle malware. Angrebet udnyttede svagheder i, hvordan SSPR er konfigureret eller verificeret, så gruppen kunne overtage kontrollen over legitime konti. Når adgangskoderne var nulstillet og adgang etableret, smeltede angriberne ind i normal brugeradfærd, hvilket gjorde adfærdsbaseret detektion betydeligt sværere.

Denne tilgang er bemærkelsesværdig, fordi den omgår mange af de signaler, som endpoint-sikkerhedsværktøjer er designet til at fange. Der er ingen ondsindet eksekverbar fil, ingen mistænkelig download, ingen åbenlys tegn på indtrængen. Angriberen logger blot ind som en legitim bruger.

Hvilke data blev eksponeret – og hvorfor cloudlagring er et mål af høj værdi

Efter at have opnået indledende adgang bevægede Storm-2949 sig gennem Microsoft 365- og Azure-økosystemerne med et klart mål: at udtrække så mange data af høj værdi som muligt. OneDrive og SharePoint, der anvendes til dokumentlagring og samarbejde i de fleste virksomhedsmiljøer, var de primære mål. SQL-databaser, der var forbundet med Azure-infrastrukturen, blev også tilgået og eksfiltreret.

Den skala, hvori moderne organisationer gemmer indhold i disse tjenester, gør dem til et oplagt fokus for sofistikerede trusselsaktører. Forretningskontrakter, regnskabsdata, kundedata, intern kommunikation og proprietær forskning findes ofte i SharePoint eller OneDrive. SQL-databaser, der er knyttet til Azure, indeholder ofte strukturerede driftsdata, som kan omsættes til penge eller bruges til efterfølgende angreb.

Dette mønster afspejler nøje, hvad der er observeret i andre store høstningshændelser af legitimationsoplysninger. ShinyHunters’ vishing-angreb, der afslørede 40 millioner Charter Communications-poster fulgte en lignende logik: opnå legitimt udseende adgang, og udtræk derefter så mange data som muligt, før forsvarerne reagerer. Cloudlagring samler enorm værdi ét sted, hvilket er præcis det, der gør det til et mål.

Hvorfor legitimationsbaserede angreb omgår traditionelle forsvar

Traditionel sikkerhedsarkitektur blev bygget op omkring ideen om, at angribere bryder ind. De udnytter softwaresårbarheder, udruller malware eller opsnapper netværkstrafik. Perimeterforsvar, antivirusværktøjer og systemer til indtrængningsdetektion blev alle designet til at fange disse adfærdsmønstre.

Legitimationsbaserede angreb vender denne antagelse på hovedet. Angriberen bryder ikke ind; vedkommende går ind. Når Storm-2949 bruger SSPR til at overtage kontrollen over en legitim konto, ser enhver efterfølgende handling ud, som om den pågældende bruger arbejder normalt. Logfiler over filadgang viser en genkendt identitet. Netværkstrafikken kommer fra forventede tjenester. Alarmgrænser, der er indstillet til at fange unormal adfærd, udløses måske aldrig.

Dette er den samme risikokategori, der gør browser- og platformsårbarheder så farlige. Forskere ved Pwn2Own Berlin 2026 demonstrerede, hvordan Windows 11 og Edge zero-days kunne kædes sammen for at opnå dyb systemadgang og illustrerer dermed, at selv betroede mainstream-platforme indeholder udnyttelige svagheder. Storm-2949's kampagne viser, at cloudidentitetsinfrastruktur bærer den samme risikokategori.

Når angribere etablerer et fodfæste gennem identitet frem for udnyttelse af sårbarheder, bliver indeslutning betydeligt mere kompleks.

Praktiske modforanstaltninger: MFA, revisionslogfiler og smartere cloudkonfiguration

Storm-2949-kampagnen peger på konkrete skridt, som organisationer og enkeltpersoner kan tage for at reducere eksponeringen.

Gennemgå din SSPR-konfiguration. Hvis selvbetjeningsadgangskodenulstilling er aktiveret, skal du kontrollere, hvilke bekræftelsesmetoder der kræves. Telefonbaserede gendannelsesmuligheder kan opsnappes eller udsættes for social engineering. At kræve flere faktorer eller begrænse SSPR til administrerede enheder hæver barren for angriberne markant.

Håndhæv phishing-resistent MFA på tværs af alle konti. Standard SMS-baseret multifaktorautentificering giver reel beskyttelse, men forbliver sårbar over for SIM-swapping og visse social engineering-teknikker. Fysiske sikkerhedsnøgler eller app-baserede autentifikatorer, der anvender FIDO2-standarder, er væsentligt sværere at misbruge.

Gennemgå politikker for betinget adgang. Både Microsoft 365 og Azure tilbyder kontroller for betinget adgang, der kan begrænse logins baseret på enhedskompatibilitet, placering og risikosignaler. Mange organisationer har disse funktioner tilgængelige, men bruger dem ikke.

Overvåg for unormale mønstre for dataadgang. Selv når en angriber bruger legitime legitimationsoplysninger, bør adgang til hundredvis af SharePoint-dokumenter eller download af store mængder OneDrive-filer i et kort tidsvindue udløse alarmer. At konfigurere Microsoft Defender for Cloud Apps eller tilsvarende overvågningsværktøjer til at markere masseadgang til data er et praktisk detektionslag.

Overvej netværksbaserede beskyttelser til cloudadgang. Brug af en VPN til at håndhæve, at cloudtjenesteadgang kun sker via kendte, overvågede netværksstier, kan hjælpe med at begrænse angrebsoverfladen for misbrug af legitimationsoplysninger fra ukendte placeringer.

Hvad dette betyder for dig

Uanset om du administrerer et stort virksomhedsmiljø eller bruger Microsoft 365 personligt til arbejde, illustrerer Storm-2949-kampagnen, at cloudsikkerhed ikke er en standard-til-funktion. Platforme som Microsoft 365 og Azure tilbyder kraftfulde sikkerhedsværktøjer, men disse værktøjer kræver bevidst konfiguration og løbende overvågning for at være effektive.

Hvis din organisation er afhængig af cloudlagring til følsomme data, er tiden inde til at gennemgå dine identitets- og adgangskontroller. Gennemgå specifikt, hvem der har SSPR aktiveret, hvordan den verificeres, om MFA håndhæves konsekvent, og om overvågning af dataadgang er aktiv.

At antage, at platformen automatisk håndterer sikkerheden, var præcis den holdning, denne kampagne udnyttede. Et par timers brugt på at gennemgå adgangskontroller er en langt mindre omkostning end at opdage, at dine OneDrive- eller SharePoint-data er blevet lydløst eksfiltreret over dage eller uger.