Storm-2949 Memanfaatkan Reset Kata Sandi Microsoft 365 untuk Mencuri Data Cloud

Storm-2949 Memanfaatkan Reset Kata Sandi Microsoft 365 untuk Mencuri Data Cloud

Microsoft telah menerbitkan rincian tentang kampanye bertahap canggih yang dilakukan oleh aktor ancaman yang dilacak sebagai Storm-2949, menyasar organisasi yang menggunakan lingkungan Microsoft 365 dan Azure. Yang membuat serangan kredensial cloud terhadap Microsoft 365 ini begitu mencolok adalah titik masuknya: sebuah fitur yang dianggap rutin dan berisiko rendah oleh sebagian besar administrator, yaitu reset kata sandi mandiri (self-service password reset/SSPR). Begitu masuk, penyerang bergerak diam-diam melalui OneDrive, SharePoint, dan basis data SQL, mengekstrak data bernilai tinggi sebelum terdeteksi.

Kampanye ini adalah pengingat tajam bahwa platform cloud hanya seaman konfigurasi dan asumsi yang dibangun di sekitarnya.

Bagaimana Storm-2949 Menjadikan Reset Kata Sandi Mandiri Sebagai Senjata

Reset kata sandi mandiri adalah fitur kenyamanan yang diterapkan secara luas. Fitur ini memungkinkan karyawan mendapatkan kembali akses akun tanpa menghubungi TI, mengurangi beban helpdesk dan waktu henti. Sebagian besar tim keamanan menganggapnya jinak. Storm-2949 menganggapnya sebagai pintu.

Dengan menyalahgunakan fungsionalitas SSPR, aktor ancaman ini mampu mengkompromikan identitas pengguna tanpa perlu meretas kata sandi melalui brute force atau menyebarkan malware. Serangan ini memanfaatkan kelemahan dalam cara SSPR dikonfigurasi atau diverifikasi, sehingga kelompok ini dapat mengambil alih akun yang sah. Begitu kredensial direset dan akses terbentuk, penyerang menyatu dengan aktivitas pengguna normal, membuat deteksi berbasis perilaku jauh lebih sulit.

Pendekatan ini patut dicatat karena menghindari banyak sinyal yang dirancang untuk ditangkap oleh alat keamanan endpoint. Tidak ada executable berbahaya, tidak ada unduhan mencurigakan, tidak ada tanda tangan intrusi yang jelas. Penyerang cukup masuk sebagai pengguna yang valid.

Data Apa yang Terpapar — dan Mengapa Penyimpanan Cloud Menjadi Target Bernilai Tinggi

Setelah mendapatkan akses awal, Storm-2949 bergerak melalui ekosistem Microsoft 365 dan Azure dengan tujuan yang jelas: mengekstrak sebanyak mungkin data bernilai tinggi. OneDrive dan SharePoint, yang digunakan di hampir semua lingkungan perusahaan untuk penyimpanan dokumen dan kolaborasi, menjadi target utama. Basis data SQL yang terhubung ke infrastruktur Azure juga diakses dan dieksfiltrasi.

Skala data yang disimpan organisasi modern dalam layanan-layanan ini menjadikannya fokus nyata bagi aktor ancaman yang canggih. Kontrak bisnis, catatan keuangan, data pelanggan, komunikasi internal, dan penelitian eksklusif sering kali berada di SharePoint atau OneDrive. Basis data SQL yang terhubung ke Azure sering kali berisi data operasional terstruktur yang dapat dimonetisasi atau digunakan untuk serangan lanjutan.

Pola ini sangat mirip dengan apa yang diamati dalam insiden pemanenan kredensial skala besar lainnya. Serangan vishing ShinyHunters yang mengekspos 40 juta catatan Charter Communications mengikuti logika serupa: dapatkan akses yang tampak sah, lalu ekstrak data sebanyak mungkin sebelum pembela merespons. Penyimpanan cloud menggabungkan nilai besar di satu tempat, dan itulah yang membuatnya menjadi target.

Mengapa Serangan Berbasis Kredensial Mengabaikan Pertahanan Tradisional

Arsitektur keamanan tradisional dibangun di sekitar gagasan bahwa penyerang mendobrak masuk. Mereka mengeksploitasi kerentanan perangkat lunak, menyebarkan malware, atau mencegat lalu lintas jaringan. Pertahanan perimeter, alat antivirus, dan sistem deteksi intrusi semuanya dirancang untuk menangkap perilaku tersebut.

Serangan berbasis kredensial membalikkan asumsi itu. Penyerang tidak mendobrak masuk; mereka berjalan masuk. Ketika Storm-2949 menggunakan SSPR untuk mengambil alih akun yang sah, setiap tindakan selanjutnya terlihat seperti pengguna itu bekerja secara normal. Log akses file menunjukkan identitas yang dikenal. Lalu lintas jaringan berasal dari layanan yang diharapkan. Ambang peringatan yang disetel untuk menangkap perilaku anomali mungkin tidak pernah terpicu.

Ini adalah kategori risiko yang sama yang membuat kerentanan browser dan platform sangat berbahaya. Peneliti di Pwn2Own Berlin 2026 menunjukkan bagaimana zero-day Windows 11 dan Edge dapat dirangkai untuk mendapatkan akses sistem yang dalam, menggambarkan bahwa bahkan platform arus utama yang tepercaya pun memiliki kelemahan yang dapat dieksploitasi. Kampanye Storm-2949 menunjukkan bahwa infrastruktur identitas cloud membawa kategori risiko yang sama.

Begitu penyerang membangun pijakan melalui identitas alih-alih eksploitasi, penahanan menjadi jauh lebih kompleks.

Mitigasi Praktis: MFA, Log Audit, dan Konfigurasi Cloud yang Lebih Cerdas

Kampanye Storm-2949 menunjukkan langkah-langkah nyata yang dapat diambil organisasi dan individu untuk mengurangi paparan.

Audit konfigurasi SSPR Anda. Jika reset kata sandi mandiri diaktifkan, verifikasi metode verifikasi apa yang diperlukan. Opsi pemulihan berbasis telepon dapat dicegat atau direkayasa secara sosial. Mewajibkan beberapa faktor, atau membatasi SSPR hanya untuk perangkat yang dikelola, secara signifikan meningkatkan hambatan bagi penyerang.

Terapkan MFA tahan phishing di semua akun. Otentikasi multi-faktor berbasis SMS standar menawarkan perlindungan nyata tetapi tetap rentan terhadap SIM-swapping dan taktik rekayasa sosial tertentu. Kunci keamanan perangkat keras atau authenticator berbasis aplikasi yang menggunakan standar FIDO2 jauh lebih sulit disalahgunakan.

Tinjau kebijakan akses bersyarat. Baik Microsoft 365 maupun Azure menawarkan kontrol akses bersyarat yang dapat membatasi login berdasarkan kepatuhan perangkat, lokasi, dan sinyal risiko. Banyak organisasi memiliki fitur ini tetapi tidak menggunakannya.

Pantau pola akses data yang tidak wajar. Bahkan ketika penyerang menggunakan kredensial yang sah, mengakses ratusan dokumen SharePoint atau mengunduh volume besar file OneDrive dalam waktu singkat seharusnya memicu peringatan. Mengonfigurasi Microsoft Defender for Cloud Apps atau alat pemantauan setara untuk menandai akses data massal adalah lapisan deteksi yang praktis.

Pertimbangkan perlindungan tingkat jaringan untuk akses cloud. Menggunakan VPN untuk memastikan bahwa akses layanan cloud hanya terjadi melalui jalur jaringan yang dikenal dan dipantau dapat membantu membatasi permukaan serangan untuk penyalahgunaan kredensial dari lokasi yang tidak dikenal.

Apa Artinya Ini Bagi Anda

Baik Anda mengelola lingkungan perusahaan besar maupun menggunakan Microsoft 365 secara pribadi untuk pekerjaan, kampanye Storm-2949 menggambarkan bahwa keamanan cloud bukanlah fitur yang aktif secara otomatis. Platform seperti Microsoft 365 dan Azure menyediakan alat keamanan yang kuat, tetapi alat tersebut memerlukan konfigurasi yang disengaja dan pemantauan berkelanjutan agar efektif.

Jika organisasi Anda mengandalkan penyimpanan cloud untuk data sensitif, sekaranglah saatnya untuk mengaudit kontrol identitas dan akses Anda. Secara khusus, tinjau siapa yang mengaktifkan SSPR, bagaimana verifikasinya, apakah MFA diterapkan secara konsisten, dan apakah pemantauan akses data aktif.

Mengasumsikan platform menangani keamanan secara otomatis adalah persis postur yang dieksploitasi kampanye ini. Beberapa jam yang dihabiskan untuk meninjau kontrol akses adalah biaya yang jauh lebih kecil daripada menemukan bahwa data OneDrive atau SharePoint Anda telah dieksfiltrasi secara diam-diam selama berhari-hari atau berminggu-minggu.