Storm-2949 nutzt die Microsoft 365-Kennwortzurücksetzung aus, um Cloud-Daten abzuschöpfen

Storm-2949 nutzt die Microsoft 365-Kennwortzurücksetzung aus, um Cloud-Daten abzuschöpfen

Microsoft hat Details zu einer raffinierten mehrstufigen Kampagne veröffentlicht, die von einem als Storm-2949 bezeichneten Bedrohungsakteur durchgeführt wird und auf Organisationen mit Microsoft 365- und Azure-Umgebungen abzielt. Besonders auffällig bei diesem Angriff auf Cloud-Anmeldeinformationen von Microsoft 365 ist der Einstiegspunkt: eine Funktion, die die meisten Administratoren für routinemäßig und risikoarm halten – die Self-Service-Kennwortzurücksetzung (SSPR). Einmal drinnen, bewegten sich die Angreifer leise durch OneDrive, SharePoint und SQL-Datenbanken und extrahierten wertvolle Daten, bevor der Angriff entdeckt wurde.

Diese Kampagne ist ein deutlicher Hinweis darauf, dass Cloud-Plattformen nur so sicher sind wie die Konfigurationen und Annahmen, die um sie herum aufgebaut werden.

Wie Storm-2949 die Self-Service-Kennwortzurücksetzung zur Waffe machte

Die Self-Service-Kennwortzurücksetzung ist eine weit verbreitete Komfortfunktion. Sie ermöglicht es Mitarbeitern, ihren Kontozugriff wiederzuerlangen, ohne die IT zu kontaktieren, was die Helpdesk-Belastung und Ausfallzeiten reduziert. Die meisten Sicherheitsteams betrachten sie als harmlos. Storm-2949 betrachtete sie als Tür.

Durch den Missbrauch der SSPR-Funktion konnte der Bedrohungsakteur Benutzeridentitäten kompromittieren, ohne Passwörter durch Brute-Force knacken oder Malware einsetzen zu müssen. Der Angriff nutzte Schwächen in der Konfiguration oder Überprüfung der SSPR aus, sodass die Gruppe die Kontrolle über legitime Konten übernehmen konnte. Sobald die Anmeldeinformationen zurückgesetzt und der Zugriff hergestellt waren, mischten sich die Angreifer unter die normale Benutzeraktivität, was die verhaltensbasierte Erkennung erheblich erschwerte.

Dieser Ansatz ist bemerkenswert, weil er viele der Signale umgeht, für deren Erkennung Endpoint-Sicherheitstools ausgelegt sind. Es gibt keine bösartige ausführbare Datei, keinen verdächtigen Download, keine offensichtliche Angriffssignatur. Der Angreifer meldet sich einfach als gültiger Benutzer an.

Welche Daten offengelegt wurden – und warum Cloud-Speicher ein hochwertiges Ziel ist

Nachdem sie sich anfänglich Zugang verschafft hatten, bewegte sich Storm-2949 mit einem klaren Ziel durch das Microsoft 365- und Azure-Ökosystem: möglichst viele hochwertige Daten zu extrahieren. OneDrive und SharePoint, die in den meisten Unternehmensumgebungen für die Dokumentenspeicherung und Zusammenarbeit genutzt werden, waren die Hauptziele. Auch mit der Azure-Infrastruktur verbundene SQL-Datenbanken wurden abgerufen und exfiltriert.

Der Umfang der Daten, die moderne Organisationen in diesen Diensten speichern, macht sie zu einem offensichtlichen Fokus für raffinierte Bedrohungsakteure. Geschäftsverträge, Finanzunterlagen, Kundendaten, interne Kommunikation und proprietäre Forschungsergebnisse befinden sich häufig in SharePoint oder OneDrive. Mit Azure verbundene SQL-Datenbanken enthalten oft strukturierte Betriebsdaten, die monetarisiert oder für Folgeangriffe genutzt werden können.

Dieses Muster ähnelt stark dem, was bei anderen groß angelegten Vorfällen zum Sammeln von Anmeldeinformationen beobachtet wurde. Der ShinyHunters-Vishing-Angriff, der 40 Millionen Datensätze von Charter Communications offenlegte, folgte einer ähnlichen Logik: sich legitim aussehenden Zugriff verschaffen und dann so viele Daten wie möglich extrahieren, bevor die Verteidiger reagieren. Cloud-Speicher bündelt enormen Wert an einem Ort, was ihn genau deshalb zu einem Ziel macht.

Warum auf Anmeldeinformationen basierende Angriffe traditionelle Abwehrmaßnahmen umgehen

Die traditionelle Sicherheitsarchitektur basierte auf der Annahme, dass Angreifer einbrechen. Sie nutzen Software-Schwachstellen aus, setzen Malware ein oder fangen Netzwerkverkehr ab. Perimeter-Verteidigungen, Antiviren-Tools und Intrusion-Detection-Systeme wurden alle entwickelt, um diese Verhaltensweisen zu erkennen.

Auf Anmeldeinformationen basierende Angriffe stellen diese Annahme auf den Kopf. Der Angreifer bricht nicht ein; er spaziert herein. Wenn Storm-2949 SSPR nutzt, um die Kontrolle über ein legitimes Konto zu übernehmen, sieht jede folgende Aktion so aus, als würde dieser Benutzer normal arbeiten. Dateizugriffsprotokolle zeigen eine bekannte Identität. Der Netzwerkverkehr stammt von erwarteten Diensten. Warnschwellen, die darauf ausgelegt sind, anomales Verhalten zu erkennen, lösen möglicherweise nie aus.

Dies ist dieselbe Risikokategorie, die Browser- und Plattform-Schwachstellen so gefährlich macht. Forscher auf der Pwn2Own Berlin 2026 demonstrierten, wie Windows 11- und Edge-Zero-Days kombiniert werden könnten, um tiefgreifenden Systemzugriff zu erlangen, und zeigten damit, dass selbst vertrauenswürdige, weit verbreitete Plattformen ausnutzbare Schwächen aufweisen. Die Kampagne von Storm-2949 zeigt, dass die Cloud-Identitätsinfrastruktur dieselbe Risikokategorie birgt.

Sobald Angreifer über die Identität statt über Exploits Fuß fassen, wird die Eindämmung erheblich komplexer.

Praktische Abwehrmaßnahmen: MFA, Audit-Protokolle und eine intelligentere Cloud-Konfiguration

Die Kampagne Storm-2949 zeigt konkrete Schritte auf, die Organisationen und Einzelpersonen unternehmen können, um die Angriffsfläche zu verringern.

Überprüfen Sie Ihre SSPR-Konfiguration. Wenn die Self-Service-Kennwortzurücksetzung aktiviert ist, überprüfen Sie, welche Verifizierungsmethoden erforderlich sind. Telefonbasierte Wiederherstellungsoptionen können abgefangen oder durch Social Engineering manipuliert werden. Das Erfordern mehrerer Faktoren oder die Beschränkung von SSPR auf verwaltete Geräte erhöht die Hürde für Angreifer erheblich.

Erzwingen Sie Phishing-resistente MFA für alle Konten. Standardmäßige SMS-basierte Multi-Faktor-Authentifizierung bietet echten Schutz, bleibt aber anfällig für SIM-Swapping und bestimmte Social-Engineering-Taktiken. Hardware-Sicherheitsschlüssel oder App-basierte Authentifikatoren mit FIDO2-Standards sind wesentlich schwerer zu missbrauchen.

Überprüfen Sie Richtlinien für bedingten Zugriff. Sowohl Microsoft 365 als auch Azure bieten Steuerelemente für bedingten Zugriff, die Anmeldungen basierend auf Gerätekonformität, Standort und Risikosignalen einschränken können. Viele Organisationen haben diese Funktionen verfügbar, nutzen sie jedoch nicht.

Überwachen Sie auf anomale Datenzugriffsmuster. Selbst wenn ein Angreifer legitime Anmeldeinformationen verwendet, sollte der Zugriff auf Hunderte von SharePoint-Dokumenten oder das Herunterladen großer Mengen von OneDrive-Dateien in kurzer Zeit Warnungen auslösen. Die Konfiguration von Microsoft Defender for Cloud Apps oder gleichwertigen Überwachungstools zum Kennzeichnen von Massendatenzugriffen ist eine praktische Erkennungsebene.

Erwägen Sie netzwerkbasierte Schutzmaßnahmen für den Cloud-Zugriff. Die Verwendung eines VPN, um sicherzustellen, dass der Zugriff auf Cloud-Dienste nur über bekannte, überwachte Netzwerkpfade erfolgt, kann dazu beitragen, die Angriffsfläche für den Missbrauch von Anmeldeinformationen von unbekannten Standorten aus zu begrenzen.

Was dies für Sie bedeutet

Ob Sie eine große Unternehmensumgebung verwalten oder Microsoft 365 persönlich für die Arbeit nutzen – die Kampagne Storm-2949 verdeutlicht, dass Cloud-Sicherheit keine standardmäßig aktivierte Funktion ist. Plattformen wie Microsoft 365 und Azure bieten leistungsstarke Sicherheitstools, aber diese Tools erfordern eine bewusste Konfiguration und kontinuierliche Überwachung, um wirksam zu sein.

Wenn Ihr Unternehmen für sensible Daten auf Cloud-Speicher angewiesen ist, ist jetzt der Zeitpunkt gekommen, Ihre Identitäts- und Zugriffskontrollen zu überprüfen. Überprüfen Sie insbesondere, wer SSPR aktiviert hat, wie es verifiziert wird, ob MFA konsequent erzwungen wird und ob die Datenzugriffsüberwachung aktiv ist.

Die Annahme, dass die Plattform die Sicherheit automatisch handhabt, ist genau die Haltung, die diese Kampagne ausgenutzt hat. Ein paar Stunden für die Überprüfung von Zugriffskontrollen sind ein weitaus geringerer Kostenfaktor als die Feststellung, dass Ihre OneDrive- oder SharePoint-Daten über Tage oder Wochen hinweg unbemerkt exfiltriert wurden.