Storm-2949 misbruikt Microsoft 365-wachtwoordreset om cloudgegevens te stelen

Storm-2949 misbruikt Microsoft 365-wachtwoordreset om cloudgegevens te stelen

Microsoft heeft details gepubliceerd over een geavanceerde meertrapscampagne uitgevoerd door een dreigingsactor die gevolgd wordt als Storm-2949, gericht op organisaties die Microsoft 365- en Azure-omgevingen gebruiken. Wat deze aanval op cloud-inloggegevens van Microsoft 365 bijzonder opvallend maakt, is het instappunt: een functie die de meeste beheerders als routineus en met een laag risico beschouwen, namelijk de selfservicewachtwoordreset (SSPR). Eenmaal binnen bewogen de aanvallers zich geruisloos door OneDrive, SharePoint en SQL-databases, waarbij ze waardevolle gegevens exfiltreerden voordat ze werden gedetecteerd.

Deze campagne is een scherpe herinnering dat cloudplatforms slechts zo veilig zijn als de configuraties en aannames eromheen.

Hoe Storm-2949 de selfservicewachtwoordreset als wapen inzette

De selfservicewachtwoordreset is een breed ingezette gemaksfunctie. Hiermee kunnen medewerkers weer toegang tot hun account krijgen zonder contact op te nemen met IT, wat de belasting van de helpdesk en de uitvaltijd vermindert. De meeste beveiligingsteams beschouwen het als onschuldig. Storm-2949 zag het als een deur.

Door misbruik te maken van de SSPR-functionaliteit kon de dreigingsactor de identiteit van gebruikers compromitteren zonder wachtwoorden te hoeven kraken via brute force of malware te implementeren. De aanval maakte gebruik van zwakheden in de configuratie of verificatie van SSPR, waardoor de groep de controle over legitieme accounts kon overnemen. Zodra de inloggegevens waren gereset en toegang was verkregen, gingen de aanvallers op in normale gebruikersactiviteiten, waardoor gedragsdetectie aanzienlijk moeilijker werd.

Deze aanpak valt op omdat het veel signalen omzeilt die endpointbeveiligingstools moeten detecteren. Er is geen kwaadaardig uitvoerbaar bestand, geen verdachte download, geen duidelijke inbraaksignatuur. De aanvaller logt simpelweg in als een geldige gebruiker.

Welke gegevens werden blootgesteld — en waarom cloudopslag een waardevol doelwit is

Nadat ze initiële toegang hadden verkregen, bewoog Storm-2949 zich door het Microsoft 365- en Azure-ecosysteem met een duidelijk doel: zoveel mogelijk waardevolle gegevens exfiltreren. OneDrive en SharePoint, die in de meeste bedrijfsomgevingen worden gebruikt voor documentopslag en samenwerking, waren de belangrijkste doelwitten. Ook SQL-databases die aan de Azure-infrastructuur zijn gekoppeld, werden benaderd en geëxfiltreerd.

De hoeveelheid gegevens die moderne organisaties in deze services opslaan, maakt ze een voor de hand liggend doelwit voor geavanceerde dreigingsactoren. Zakelijke contracten, financiële administratie, klantgegevens, interne communicatie en eigen onderzoek bevinden zich vaak allemaal in SharePoint of OneDrive. SQL-databases die aan Azure zijn gekoppeld, bevatten vaak gestructureerde operationele gegevens die te gelde kunnen worden gemaakt of voor vervolgaanvallen kunnen worden gebruikt.

Dit patroon lijkt sterk op wat is waargenomen bij andere grootschalige incidenten waarbij inloggegevens werden verzameld. De ShinyHunters vishing-aanval waarbij 40 miljoen gegevens van Charter Communications werden blootgesteld volgde een vergelijkbare logica: verkrijg legitiem uitziende toegang en exfiltreer vervolgens zoveel mogelijk gegevens voordat verdedigers reageren. Cloudopslag bundelt een enorme waarde op één plek, en dat maakt het juist een doelwit.

Waarom aanvallen op basis van inloggegevens traditionele verdedigingen omzeilen

Traditionele beveiligingsarchitectuur is gebouwd rond het idee dat aanvallers inbreken. Ze misbruiken softwarekwetsbaarheden, zetten malware in of onderscheppen netwerkverkeer. Perimeterverdedigingen, antivirusprogramma's en inbraakdetectiesystemen zijn allemaal ontworpen om dergelijk gedrag te detecteren.

Aanvallen op basis van inloggegevens draaien die aanname om. De aanvaller breekt niet in; hij loopt naar binnen. Wanneer Storm-2949 SSPR gebruikt om de controle over een legitiem account over te nemen, ziet elke daaropvolgende actie eruit alsof die gebruiker normaal werkt. Bestandstoegangslogboeken tonen een herkende identiteit. Netwerkverkeer is afkomstig van verwachte services. Alarmdrempels die zijn afgestemd om afwijkend gedrag te detecteren, worden mogelijk nooit geactiveerd.

Dit valt in dezelfde risicocategorie die browser- en platformkwetsbaarheden zo gevaarlijk maakt. Onderzoekers op Pwn2Own Berlin 2026 lieten zien hoe zero-days in Windows 11 en Edge aan elkaar konden worden gekoppeld om diepe systeemtoegang te krijgen, wat aantoont dat zelfs vertrouwde, gangbare platforms exploiteerbare zwakheden bevatten. De campagne van Storm-2949 laat zien dat de cloudidentiteitsinfrastructuur dezelfde soort risico's met zich meebrengt.

Zodra aanvallers voet aan de grond krijgen via identiteit in plaats van exploits, wordt indamming aanzienlijk complexer.

Praktische mitigerende maatregelen: MFA, auditlogboeken en slimmere cloudconfiguratie

De Storm-2949-campagne wijst op concrete stappen die organisaties en individuen kunnen nemen om de blootstelling te verminderen.

Controleer uw SSPR-configuratie. Als selfservicewachtwoordreset is ingeschakeld, controleer dan welke verificatiemethoden vereist zijn. Op telefoon gebaseerde herstelopties kunnen worden onderschept of via social engineering worden misbruikt. Het vereisen van meerdere factoren, of het beperken van SSPR tot beheerde apparaten, verhoogt de lat voor aanvallers aanzienlijk.

Dwing phishingbestendige MFA af voor alle accounts. Standaard op sms gebaseerde meervoudige verificatie biedt echte bescherming, maar blijft kwetsbaar voor sim-swapping en bepaalde social engineering-tactieken. Hardwarebeveiligingssleutels of app-gebaseerde authenticators die FIDO2-standaarden gebruiken, zijn aanzienlijk moeilijker te misbruiken.

Beoordeel beleid voor voorwaardelijke toegang. Microsoft 365 en Azure bieden beide besturingselementen voor voorwaardelijke toegang die aanmeldingen kunnen beperken op basis van apparaatcompliance, locatie en risicosignalen. Veel organisaties hebben deze functies beschikbaar, maar gebruiken ze niet.

Controleer op afwijkende gegevenstoegangspatronen. Zelfs wanneer een aanvaller legitieme inloggegevens gebruikt, zou het openen van honderden SharePoint-documenten of het downloaden van grote hoeveelheden OneDrive-bestanden in een korte periode alarm moeten slaan. Het configureren van Microsoft Defender for Cloud Apps of gelijkwaardige bewakingstools om bulktoegang tot gegevens te markeren, is een praktische detectielaag.

Overweeg netwerkbeveiliging voor cloudtoegang. Het gebruik van een VPN om af te dwingen dat toegang tot cloudservices alleen plaatsvindt via bekende, gemonitorde netwerkpaden, kan helpen het aanvalsoppervlak voor misbruik van inloggegevens vanaf onbekende locaties te beperken.

Wat dit voor u betekent

Of u nu een grote bedrijfsomgeving beheert of Microsoft 365 persoonlijk voor werk gebruikt, de Storm-2949-campagne laat zien dat cloudbeveiliging geen standaard ingeschakelde functie is. Platformen zoals Microsoft 365 en Azure bieden krachtige beveiligingstools, maar die tools vereisen doelbewuste configuratie en voortdurende bewaking om effectief te zijn.

Als uw organisatie vertrouwt op cloudopslag voor gevoelige gegevens, is dit het moment om uw identiteits- en toegangscontroles te controleren. Bekijk specifiek wie SSPR heeft ingeschakeld, hoe dit wordt geverifieerd, of MFA consequent wordt afgedwongen en of monitoring van gegevenstoegang actief is.

Ervan uitgaan dat het platform beveiliging automatisch regelt, is precies de houding waar deze campagne misbruik van maakte. Een paar uur besteden aan het controleren van toegangscontroles is een veel lagere prijs dan ontdekken dat uw OneDrive- of SharePoint-gegevens in stilte gedurende dagen of weken zijn geëxfiltreerd.