Storm-2949 iskorištava resetiranje lozinke za Microsoft 365 za krađu podataka iz oblaka

Storm-2949 iskorištava resetiranje lozinke za Microsoft 365 za krađu podataka iz oblaka

Microsoft je objavio detalje o sofisticiranoj višeetapnoj kampanji koju provodi akter prijetnje praćen kao Storm-2949, a koja cilja organizacije koje koriste Microsoft 365 i Azure okruženja. Ono što ovaj napad na vjerodajnice u oblaku za Microsoft 365 čini posebno upečatljivim je ulazna točka: značajka koju većina administratora smatra rutinskom i niskorizičnom, konkretno samouslužno resetiranje lozinke (SSPR). Jednom kad bi ušli, napadači su se neprimjetno kretali kroz OneDrive, SharePoint i SQL baze podataka, izvlačeći visokovrijedne podatke prije otkrivanja.

Ova kampanja jasan je podsjetnik da su platforme u oblaku sigurne onoliko koliko su sigurne konfiguracije i pretpostavke izgrađene oko njih.

Kako je Storm-2949 pretvorio samouslužno resetiranje lozinke u oružje

Samouslužno resetiranje lozinke široko je primijenjena značajka koja olakšava pristup. Omogućuje zaposlenicima da ponovno dobiju pristup računu bez kontaktiranja IT podrške, smanjujući opterećenje službe za pomoć i vrijeme zastoja. Većina sigurnosnih timova tretira je kao bezopasnu. Storm-2949 ju je tretirao kao vrata.

Zlouporabom SSPR funkcionalnosti, akter prijetnje mogao je kompromitirati korisničke identitete bez potrebe za probijanjem lozinki grubom silom ili postavljanjem zlonamjernog softvera. Napad je iskoristio slabosti u načinu na koji je SSPR konfiguriran ili verificiran, omogućujući skupini da preuzme kontrolu nad legitimnim računima. Nakon što bi lozinke bile resetirane i pristup uspostavljen, napadači su se stopili s normalnom korisničkom aktivnošću, čineći otkrivanje na temelju ponašanja značajno težim.

Ovaj pristup je značajan jer zaobilazi mnoge signale koje alati za sigurnost krajnjih točaka trebaju uhvatiti. Nema zlonamjerne izvršne datoteke, nema sumnjivog preuzimanja, nema očitog potpisa upada. Napadač se jednostavno prijavi kao valjani korisnik.

Koji su podaci bili izloženi — i zašto je pohrana u oblaku visokovrijedna meta

Nakon što su stekli početni pristup, Storm-2949 se kretao kroz Microsoft 365 i Azure ekosustav s jasnim ciljem: izvući što je više moguće visokovrijednih podataka. OneDrive i SharePoint, koji se u većini poslovnih okruženja koriste za pohranu dokumenata i suradnju, bili su primarne mete. SQL baze podataka povezane s Azure infrastrukturom također su bile pristupane i eksfiltrirane.

Razmjer onoga što moderne organizacije pohranjuju u tim uslugama čini ih očitim fokusom za sofisticirane aktere prijetnji. Poslovni ugovori, financijski zapisi, podaci o kupcima, interne komunikacije i vlasnička istraživanja često se nalaze u SharePointu ili OneDriveu. SQL baze podataka povezane s Azureom često sadrže strukturirane operativne podatke koji se mogu unovčiti ili iskoristiti za naknadne napade.

Ovaj obrazac uvelike podsjeća na ono što je primijećeno u drugim velikim incidentima prikupljanja vjerodajnica. ShinyHunters vishing napad koji je razotkrio 40 milijuna zapisa Charter Communicationsa slijedio je sličnu logiku: steći pristup koji izgleda legitimno, zatim izvući što više podataka prije nego što obrana reagira. Pohrana u oblaku konsolidira ogromnu vrijednost na jednom mjestu, što je upravo ono što je čini metom.

Zašto napadi temeljeni na vjerodajnicama zaobilaze tradicionalnu obranu

Tradicionalna sigurnosna arhitektura izgrađena je na ideji da napadači provale. Iskorištavaju ranjivosti softvera, postavljaju zlonamjerni softver ili presreću mrežni promet. Obrana perimetra, antivirusni alati i sustavi za otkrivanje upada dizajnirani su da uhvate ta ponašanja.

Napadi temeljeni na vjerodajnicama preokreću tu pretpostavku. Napadač ne provaljuje; on uđe. Kada Storm-2949 koristi SSPR za preuzimanje kontrole nad legitimnim računom, svaka sljedeća radnja izgleda kao da taj korisnik normalno radi. Dnevnici pristupa datotekama prikazuju prepoznati identitet. Mrežni promet dolazi iz očekivanih usluga. Pragovi upozorenja podešeni da hvataju anomalno ponašanje možda se nikada neće aktivirati.

Ovo je ista kategorija rizika koja ranjivosti preglednika i platformi čini tako opasnima. Istraživači na Pwn2Own Berlin 2026 demonstrirali su kako se zero-day ranjivosti za Windows 11 i Edge mogu ulančati da bi se dobio dubok pristup sustavu, ilustrirajući da čak i pouzdane, mainstream platforme nose iskoristive slabosti. Kampanja Storm-2949 pokazuje da infrastruktura identiteta u oblaku nosi istu kategoriju rizika.

Nakon što napadači uspostave uporište kroz identitet umjesto kroz eksploataciju, zadržavanje postaje značajno složenije.

Praktične mjere ublažavanja: MFA, revizijski dnevnici i pametnija konfiguracija oblaka

Kampanja Storm-2949 ukazuje na konkretne korake koje organizacije i pojedinci mogu poduzeti kako bi smanjili izloženost.

Provedite reviziju svoje SSPR konfiguracije. Ako je samouslužno resetiranje lozinke omogućeno, provjerite koje su metode verifikacije potrebne. Mogućnosti oporavka temeljene na telefonu mogu se presresti ili socijalno inženjeringom zloupotrijebiti. Zahtijevanje više faktora ili ograničavanje SSPR-a samo na upravljane uređaje značajno podiže ljestvicu za napadače.

Nametnite višefaktorsku autentifikaciju (MFA) otpornu na phishing na svim računima. Standardna višefaktorska autentifikacija temeljena na SMS-u pruža stvarnu zaštitu, ali ostaje ranjiva na SIM-swapping i određene taktike socijalnog inženjeringa. Hardverski sigurnosni ključevi ili aplikacijski autentifikatori koji koriste FIDO2 standarde znatno su teži za zloupotrebu.

Pregledajte politike uvjetnog pristupa. Microsoft 365 i Azure nude kontrole uvjetnog pristupa koje mogu ograničiti prijave na temelju usklađenosti uređaja, lokacije i signala rizika. Mnoge organizacije imaju ove značajke dostupne, ali ih ne koriste.

Nadzirite neuobičajene obrasce pristupa podacima. Čak i kada napadač koristi legitimne vjerodajnice, pristupanje stotinama SharePoint dokumenata ili preuzimanje velikih količina OneDrive datoteka u kratkom roku trebalo bi aktivirati upozorenja. Konfiguriranje Microsoft Defender for Cloud Apps ili ekvivalentnih alata za nadzor da označavaju masovni pristup podacima praktičan je sloj detekcije.

Razmotrite zaštite na razini mreže za pristup oblaku. Korištenje VPN-a za nametanje da se pristup uslugama u oblaku odvija samo kroz poznate, nadzirane mrežne putove može pomoći u ograničavanju napadne površine za zlouporabu vjerodajnica s nepoznatih lokacija.

Što ovo znači za vas

Bez obzira upravljate li velikim poslovnim okruženjem ili osobno koristite Microsoft 365 za posao, kampanja Storm-2949 ilustrira da sigurnost u oblaku nije automatski uključena značajka. Platforme poput Microsoft 365 i Azure pružaju moćne sigurnosne alate, ali ti alati zahtijevaju namjernu konfiguraciju i kontinuirani nadzor kako bi bili učinkoviti.

Ako se vaša organizacija oslanja na pohranu u oblaku za osjetljive podatke, sada je vrijeme za reviziju vaših kontrola identiteta i pristupa. Konkretno, pregledajte tko ima omogućen SSPR, kako se verificira, je li MFA dosljedno nametnuta i je li nadzor pristupa podacima aktivan.

Pretpostavka da platforma automatski rješava sigurnost upravo je stav koji je ova kampanja iskoristila. Nekoliko sati utrošenih na pregled kontrola pristupa daleko je manji trošak od otkrivanja da su vaši podaci iz OneDrivea ili SharePointa danima ili tjednima tiho eksfiltrirani.