Storm-2949 sfrutta il reset della password di Microsoft 365 per prosciugare i dati cloud
Microsoft ha pubblicato dettagli su una sofisticata campagna multifase condotta da un attore della minaccia tracciato come Storm-2949, che prende di mira organizzazioni che utilizzano ambienti Microsoft 365 e Azure. Ciò che rende particolarmente sorprendente questo attacco basato su credenziali cloud a Microsoft 365 è il punto di ingresso: una funzionalità che la maggior parte degli amministratori considera di routine e a basso rischio, ovvero il reset della password self-service (SSPR). Una volta all'interno, gli attaccanti si sono mossi silenziosamente attraverso OneDrive, SharePoint e database SQL, estraendo dati di elevato valore prima di essere rilevati.
Questa campagna è un chiaro promemoria del fatto che le piattaforme cloud sono sicure solo quanto le configurazioni e le ipotesi che le circondano.
Come Storm-2949 ha trasformato il reset della password self-service in un'arma
Il reset della password self-service è una funzionalità di convenienza ampiamente diffusa. Permette ai dipendenti di recuperare l'accesso all'account senza contattare l'IT, riducendo il carico sull'help desk e i tempi di inattività. La maggior parte dei team di sicurezza la considera innocua. Storm-2949 l'ha considerata una porta.
Sfruttando la funzionalità SSPR, il gruppo malevolo è riuscito a compromettere le identità degli utenti senza dover decifrare le password tramite forza bruta o distribuire malware. L'attacco ha approfittato di debolezze nelle modalità di configurazione o verifica dell'SSPR, permettendo al gruppo di assumere il controllo di account legittimi. Una volta resettate le credenziali e ottenuto l'accesso, gli attaccanti si sono mimetizzati con la normale attività degli utenti, rendendo il rilevamento comportamentale significativamente più difficile.
Questo approccio è degno di nota perché aggira molti dei segnali che gli strumenti di sicurezza degli endpoint sono progettati per rilevare. Non c'è un eseguibile malevolo, nessun download sospetto, nessuna ovvia firma di intrusione. L'attaccante semplicemente accede come un utente valido.
Quali dati sono stati esposti — e perché lo storage cloud è un obiettivo di alto valore
Dopo aver ottenuto l'accesso iniziale, Storm-2949 si è mosso attraverso l'ecosistema Microsoft 365 e Azure con un obiettivo chiaro: estrarre il maggior numero possibile di dati di alto valore. OneDrive e SharePoint, utilizzati nella maggior parte degli ambienti aziendali per l'archiviazione e la collaborazione sui documenti, sono stati obiettivi primari. Anche i database SQL collegati all'infrastruttura Azure sono stati accessi ed esfiltrati.
La portata di ciò che le organizzazioni moderne archiviano in questi servizi li rende un obiettivo ovvio per attori di minacce sofisticati. Contratti commerciali, documenti finanziari, dati dei clienti, comunicazioni interne e ricerche proprietarie si trovano spesso in SharePoint o OneDrive. I database SQL collegati ad Azure contengono spesso dati operativi strutturati che possono essere monetizzati o utilizzati per attacchi successivi.
Questo schema rispecchia da vicino quanto osservato in altri incidenti di raccolta di credenziali su larga scala. L'attacco di vishing di ShinyHunters che ha esposto 40 milioni di record di Charter Communications ha seguito una logica simile: ottenere un accesso dall'aspetto legittimo, quindi estrarre più dati possibile prima che i difensori rispondano. Lo storage cloud consolida un enorme valore in un unico posto, ed è proprio questo che lo rende un bersaglio.
Perché gli attacchi basati su credenziali aggirano le difese tradizionali
L'architettura di sicurezza tradizionale è stata costruita sull'idea che gli attaccanti facciano irruzione. Sfruttano vulnerabilità software, diffondono malware o intercettano il traffico di rete. Le difese perimetrali, gli strumenti antivirus e i sistemi di rilevamento delle intrusioni sono stati tutti progettati per rilevare quei comportamenti.
Gli attacchi basati su credenziali ribaltano questa ipotesi. L'attaccante non forza l'ingresso; entra liberamente. Quando Storm-2949 utilizza l'SSPR per assumere il controllo di un account legittimo, ogni azione successiva sembra l'utente che lavora normalmente. I registri di accesso ai file mostrano un'identità riconosciuta. Il traffico di rete proviene da servizi previsti. Le soglie di allerta calibrate per rilevare comportamenti anomali potrebbero non attivarsi mai.
Si tratta della stessa categoria di rischio che rende così pericolose le vulnerabilità di browser e piattaforme. I ricercatori di Pwn2Own Berlin 2026 hanno dimostrato come i zero-day di Windows 11 ed Edge possano essere concatenati per ottenere un accesso approfondito al sistema, illustrando come anche piattaforme affidabili e mainstream contengano debolezze sfruttabili. La campagna di Storm-2949 mostra che l'infrastruttura di identità cloud comporta la stessa categoria di rischio.
Una volta che gli attaccanti stabiliscono un punto d'appoggio attraverso l'identità anziché gli exploit, il contenimento diventa significativamente più complesso.
Mitigazioni pratiche: MFA, log di controllo e configurazione cloud più intelligente
La campagna di Storm-2949 indica passi concreti che le organizzazioni e gli individui possono adottare per ridurre l'esposizione.
Audit della configurazione SSPR. Se il reset della password self-service è abilitato, verificare quali metodi di verifica sono richiesti. Le opzioni di recupero basate su telefono possono essere intercettate o socialmente ingegnerizzate. Richiedere più fattori, o limitare l'SSPR solo ai dispositivi gestiti, aumenta significativamente la difficoltà per gli attaccanti.
Applicare l'MFA resistente al phishing su tutti gli account. L'autenticazione a più fattori standard basata su SMS offre una protezione reale ma rimane vulnerabile allo scambio di SIM e a certe tattiche di ingegneria sociale. Le chiavi di sicurezza hardware o gli autenticatori basati su app che utilizzano gli standard FIDO2 sono sostanzialmente più difficili da abusare.
Verificare le politiche di accesso condizionale. Sia Microsoft 365 che Azure offrono controlli di accesso condizionale che possono limitare gli accessi in base alla conformità del dispositivo, alla posizione e ai segnali di rischio. Molte organizzazioni hanno queste funzionalità disponibili ma non le utilizzano.
Monitorare modelli anomali di accesso ai dati. Anche quando un attaccante utilizza credenziali legittime, l'accesso a centinaia di documenti SharePoint o il download di grandi volumi di file OneDrive in un breve lasso di tempo dovrebbe attivare avvisi. Configurare Microsoft Defender for Cloud Apps o strumenti di monitoraggio equivalenti per segnalare l'accesso in blocco ai dati è un livello di rilevamento pratico.
Considerare protezioni a livello di rete per l'accesso al cloud. L'uso di una VPN per garantire che l'accesso ai servizi cloud avvenga solo attraverso percorsi di rete noti e monitorati può aiutare a limitare la superficie d'attacco per l'uso improprio di credenziali da luoghi non familiari.
Cosa significa questo per te
Che tu gestisca un grande ambiente aziendale o utilizzi Microsoft 365 personalmente per lavoro, la campagna di Storm-2949 illustra che la sicurezza cloud non è una funzionalità predefinita. Piattaforme come Microsoft 365 e Azure forniscono potenti strumenti di sicurezza, ma quegli strumenti richiedono una configurazione deliberata e un monitoraggio continuo per essere efficaci.
Se la tua organizzazione si affida allo storage cloud per dati sensibili, è il momento di fare un audit dei controlli di identità e accesso. In particolare, verifica chi ha l'SSPR abilitato, come viene verificato, se l'MFA è applicato coerentemente e se il monitoraggio dell'accesso ai dati è attivo.
Partire dal presupposto che la piattaforma gestisca automaticamente la sicurezza è esattamente la posizione che questa campagna ha sfruttato. Qualche ora spesa nella revisione dei controlli di accesso è un costo di gran lunga inferiore rispetto a scoprire che i dati di OneDrive o SharePoint sono stati esfiltrati silenziosamente per giorni o settimane.
