Storm-2949 kihasználja a Microsoft 365 jelszó-visszaállítását, hogy kiszivattyúzza a felhőbeli adatokat
Microsoft részleteket tett közzé egy kifinomult, többlépcsős kampányról, amelyet a Storm-2949 néven nyomon követett fenyegető szereplő hajtott végre, és amely Microsoft 365 és Azure környezeteket használó szervezeteket célzott. A Microsoft 365 elleni, felhős hitelesítő adatokra épülő támadás különösen szembetűnővé a belépési pontot teszi: egy olyan funkciót, amelyet a legtöbb rendszergazda rutinszerűnek és alacsony kockázatúnak tekint – a önkiszolgáló jelszó-visszaállítást (self-service password reset, SSPR). Miután bejutottak, a támadók csendben mozogtak a OneDrive, a SharePoint és az SQL adatbázisok között, és még az észlelés előtt kivonták a nagy értékű adatokat.
Ez a kampány éles emlékeztető arra, hogy a felhőplatformok biztonsága csak annyira erős, mint a köréjük épített konfigurációk és feltételezések.
Hogyan fegyverezte fel a Storm-2949 az önkiszolgáló jelszó-visszaállítást
Az önkiszolgáló jelszó-visszaállítás széles körben alkalmazott kényelmi funkció. Lehetővé teszi, hogy a munkavállalók informatikai segítség nélkül visszanyerjék a fiókjukhoz való hozzáférést, csökkentve ezzel a helpdesk terhelését és az állásidőt. A legtöbb biztonsági csapat ártalmatlannak tekinti. A Storm-2949 ajtóként kezelte.
Az SSPR funkcióval visszaélve a fenyegető szereplő képes volt felhasználói identitásokat kompromittálni anélkül, hogy nyers erővel fel kellett volna törnie jelszavakat, vagy kártevőket kellett volna telepítenie. A támadás az SSPR konfigurálásának vagy hitelesítésének gyengeségeit használta ki, így a csoport átvehette az irányítást a legitim fiókok felett. Miután a jelszót visszaállították és a hozzáférés létrejött, a támadók beleolvadtak a normál felhasználói tevékenységbe, ami jelentősen megnehezítette a viselkedésalapú észlelést.
Ez a megközelítés azért figyelemre méltó, mert kikerüli a végpontbiztonsági eszközök által észlelhető jelek nagy részét. Nincs rosszindulatú végrehajtható fájl, nincs gyanús letöltés, nincs nyilvánvaló behatolási lenyomat. A támadó egyszerűen bejelentkezik érvényes felhasználóként.
Milyen adatok kerültek veszélybe – és miért magas értékű célpont a felhőalapú tárolás
A kezdeti hozzáférés megszerzése után a Storm-2949 világos céllal mozgott a Microsoft 365 és az Azure ökoszisztémáján belül: minél több nagy értékű adatot kivonni. Elsődleges célpontja a OneDrive és a SharePoint volt, amelyeket a legtöbb vállalati környezetben dokumentumok tárolására és együttműködésre használnak. A támadók az Azure infrastruktúrához kapcsolt SQL adatbázisokat is elérték és kiszivárogtatták.
Az, hogy a modern szervezetek mekkora mennyiségű anyagot tárolnak ezekben a szolgáltatásokban, nyilvánvaló célponttá teszi őket a kifinomult fenyegető szereplők számára. Üzleti szerződések, pénzügyi nyilvántartások, ügyféladatok, belső kommunikáció és saját fejlesztésű kutatások gyakran mind a SharePointban vagy a OneDrive-ban élnek. Az Azure-hoz kapcsolt SQL adatbázisok általában olyan strukturált üzemeltetési adatokat tartalmaznak, amelyek pénzzé tehetők vagy felhasználhatók további támadásokhoz.
Ez a minta szorosan tükrözi azt, amit más nagyméretű, hitelesítő adatok begyűjtésére irányuló incidenseknél is megfigyeltek. A ShinyHunters vishing támadása, amely 40 millió Charter Communications rekordot tárt fel hasonló logikát követett: legitimnek tűnő hozzáférés megszerzése, majd minél több adat kivonása, mielőtt a védők reagálni tudnának. A felhőalapú tárolás hatalmas értéket koncentrál egy helyre, éppen ez teszi célponttá.
Miért kerülik meg a hitelesítő adatokra épülő támadások a hagyományos védelmet
A hagyományos biztonsági architektúra arra az elképzelésre épült, hogy a támadók betörnek. Szoftveres sebezhetőségeket használnak ki, kártevőt telepítenek, vagy hálózati forgalmat hallgatnak le. A határvédelmi eszközök, a vírusirtók és a behatolásjelző rendszerek mind az ilyen viselkedések elfogására készültek.
A hitelesítő adatokra épülő támadások ezt a feltételezést fordítják meg. A támadó nem tör be; besétál. Amikor a Storm-2949 az SSPR segítségével átveszi egy legitim fiók irányítását, minden további művelet úgy néz ki, mintha az a felhasználó normálisan dolgozna. A fájlhozzáférési naplók egy ismert személyazonosságot mutatnak. A hálózati forgalom a várt szolgáltatásokból érkezik. A rendellenes viselkedés elkapására hangolt riasztási küszöbök lehet, hogy soha nem lépnek működésbe.
Ez ugyanaz a kockázati kategória, amely a böngészők és platformok sebezhetőségeit is annyira veszélyessé teszi. A Pwn2Own Berlin 2026 kutatói bemutatták, hogyan láncolhatók össze a Windows 11 és Edge zero-day sérülékenységei mély rendszerszintű hozzáférés megszerzéséhez, szemléltetve, hogy még a megbízható, mainstream platformok is tartalmaznak kihasználható gyengeségeket. A Storm-2949 kampánya azt mutatja, hogy a felhős identitásinfrastruktúra ugyanebbe a kockázati kategóriába tartozik.
Amint a támadók exploitok helyett identitáson keresztül vetik meg a lábukat, a behatárolásuk sokkal összetettebbé válik.
Gyakorlati védelmi intézkedések: MFA, auditnaplók és okosabb felhős konfiguráció
A Storm-2949 kampány konkrét lépésekre mutat rá, amelyeket a szervezetek és az egyének megtehetnek a kitettség csökkentése érdekében.
Vizsgálja felül az SSPR konfigurációját. Ha az önkiszolgáló jelszó-visszaállítás engedélyezve van, ellenőrizze, milyen ellenőrzési módszerek szükségesek. A telefonos helyreállítási lehetőségek lehallgathatók vagy szociális manipulációval kijátszhatók. Több tényező megkövetelése vagy az SSPR felügyelt eszközökre korlátozása jelentősen megemeli a lécet a támadók számára.
Alkalmazzon adathalászat-rezisztens MFA-t minden fióknál. A hagyományos SMS-alapú többtényezős hitelesítés valós védelmet nyújt, de továbbra is ki van téve a SIM-cserés visszaéléseknek és bizonyos szociális manipulációs technikáknak. A hardveres biztonsági kulcsok vagy a FIDO2 szabványokat használó alkalmazásalapú hitelesítők lényegesen nehezebben visszaélhetők.
Ellenőrizze a feltételes hozzáférési szabályzatokat. A Microsoft 365 és az Azure egyaránt kínál feltételes hozzáférési vezérlőket, amelyek az eszköz megfelelősége, a tartózkodási hely és a kockázati jelek alapján korlátozhatják a bejelentkezéseket. Sok szervezet rendelkezik ezekkel a funkciókkal, de nem használja őket.
Figyelje a rendellenes adathozzáférési mintákat. Még akkor is, ha a támadó legitim hitelesítő adatokkal dolgozik, több száz SharePoint-dokumentum elérése vagy nagy mennyiségű OneDrive-fájl rövid idő alatti letöltése riasztást kell, hogy kiváltson. A Microsoft Defender for Cloud Apps vagy azzal egyenértékű monitorozó eszközök beállítása a tömeges adathozzáférés jelzésére praktikus érzékelési réteget jelent.
Vegye fontolóra a hálózati szintű védelmet a felhőhozzáféréshez. VPN használata annak kikényszerítésére, hogy a felhőszolgáltatások elérése kizárólag ismert, felügyelt hálózati útvonalakon keresztül történjen, segíthet csökkenteni az ismeretlen helyekről érkező hitelesítőadat-visszaélés támadási felületét.
Mit jelent ez Önnek
Akár nagyvállalati környezetet kezel, akár munkájához személyesen használja a Microsoft 365-öt, a Storm-2949 kampánya rávilágít arra, hogy a felhőbiztonság nem egy alapértelmezetten bekapcsolt funkció. Az olyan platformok, mint a Microsoft 365 és az Azure erőteljes biztonsági eszközöket kínálnak, ám ezek az eszközök tudatos konfigurálást és folyamatos monitorozást igényelnek a hatékonysághoz.
Ha az Ön szervezete felhőalapú tárolásra támaszkodik érzékeny adatokkal, itt az ideje átvizsgálni az identitás- és hozzáférés-szabályozást. Különösen ellenőrizze, hogy kinél van engedélyezve az SSPR, hogyan történik az ellenőrzése, az MFA következetesen érvényesül-e, és aktív-e az adathozzáférés monitorozása.
Ha abból a feltételezésből indul ki, hogy a platform automatikusan kezeli a biztonságot, éppen azt a testtartást használja ki ez a kampány. Pár óra, amelyet a hozzáférési kontrollok átnézésével tölt, összehasonlíthatatlanul kisebb költség, mint felfedezni, hogy a OneDrive-ból vagy a SharePointból napok vagy hetek alatt csendben kiszivárogtatták az adatait.
