Storm-2949 Utnytter Microsoft 365-passordtilbakestilling for å Tømme Skydata

Storm-2949 Utnytter Microsoft 365-passordtilbakestilling for å Tømme Skydata

Microsoft har publisert detaljer om en sofistikert flertrinnskampanje utført av en trusselaktør sporet som Storm-2949, rettet mot organisasjoner som kjører Microsoft 365- og Azure-miljøer. Det som gjør dette angrepet på skylegitimasjon særlig oppsiktsvekkende, er inngangspunktet: en funksjon de fleste administratorer anser som rutinepreget og lavrisiko, nemlig selvbetjent passordtilbakestilling (SSPR). Når de først var inne, beveget angriperne seg stille gjennom OneDrive, SharePoint og SQL-databaser og hentet ut høyverdi-data før oppdagelse.

Denne kampanjen er en tydelig påminnelse om at skyplattformer bare er så sikre som konfigurasjonene og antakelsene som er bygget rundt dem.

Hvordan Storm-2949 Våpenmaktet Selvbetjent Passordtilbakestilling

Selvbetjent passordtilbakestilling er en mye brukt bekvemmelighetsfunksjon. Den lar ansatte gjenvinne kontotilgang uten å kontakte IT, noe som reduserer hjelpesenterets belastning og nedetid. De fleste sikkerhetsteam anser den som ufarlig. Storm-2949 betraktet den som en dør.

Ved å misbruke SSPR-funksjonaliteten kunne trusselaktøren kompromittere brukeridentiteter uten å måtte knekke passord gjennom brute force eller utplassere skadelig programvare. Angrepet utnyttet svakheter i hvordan SSPR er konfigurert eller verifisert, slik at gruppen kunne overta kontrollen over legitime kontoer. Når påloggingsinformasjonen var tilbakestilt og tilgang opprettet, smeltet angriperne inn i normal brukeraktivitet, noe som gjorde atferdsbasert deteksjon betydelig vanskeligere.

Denne tilnærmingen er bemerkelsesverdig fordi den omgår mange av signalene som endepunktsikkerhetsverktøy er designet for å fange opp. Det er ingen ondsinnet kjørbar fil, ingen mistenkelig nedlasting, ingen åpenbar inntrengningssignatur. Angriperen logger ganske enkelt inn som en gyldig bruker.

Hvilke Data Ble Eksponert – og Hvorfor Skylagring Er et Mål med Høy Verdi

Etter å ha oppnådd innledende tilgang beveget Storm-2949 seg gjennom Microsoft 365- og Azure-økosystemet med et klart mål: å hente ut så mye høyverdi-data som mulig. OneDrive og SharePoint, som brukes i de fleste bedriftsmiljøer for dokumentlagring og samarbeid, var primære mål. SQL-databaser koblet til Azure-infrastruktur ble også aksessert og eksfiltrert.

Omfanget av hva moderne organisasjoner lagrer i disse tjenestene gjør dem til et åpenbart fokus for sofistikerte trusselaktører. Forretningskontrakter, regnskapsposter, kundedata, intern kommunikasjon og proprietær forskning ligger ofte i SharePoint eller OneDrive. SQL-databaser tilkoblet Azure inneholder ofte strukturerte driftsdata som kan tjene penger på eller brukes til oppfølgingsangrep.

Dette mønsteret speiler i stor grad det som er observert i andre storskala hendelser med innsamling av påloggingsinformasjon. ShinyHunters' vishing-angrep som avslørte 40 millioner Charter Communications-poster fulgte en lignende logikk: skaff legitimt utseende tilgang, og trekk deretter ut så mye data som mulig før forsvarerne reagerer. Skylagring samler enorm verdi på ett sted, noe som nettopp gjør det til et mål.

Hvorfor Legitimasjonsbaserte Angrep Omgår Tradisjonelle Forsvar

Tradisjonell sikkerhetsarkitektur ble bygget rundt ideen om at angripere bryter seg inn. De utnytter programvaresårbarheter, utplasserer skadelig programvare eller avlytter nettverkstrafikk. Omkretsforsvar, antivirusverktøy og inntrengningsdeteksjonssystemer ble alle designet for å fange opp slik atferd.

Legitimasjonsbaserte angrep snur denne antakelsen på hodet. Angriperen bryter seg ikke inn; hun går rett inn. Når Storm-2949 bruker SSPR til å overta en legitim konto, ser hver påfølgende handling ut som om den brukeren jobber normalt. Filtilgangslogger viser en gjenkjent identitet. Nettverkstrafikk kommer fra forventede tjenester. Varselsterskler som er justert for å fange opp unormal atferd, utløses kanskje aldri.

Dette er den samme risikokategorien som gjør sårbarheter i nettlesere og plattformer så farlige. Forskere ved Pwn2Own Berlin 2026 demonstrerte hvordan null-dager i Windows 11 og Edge kunne kjedes sammen for å oppnå dyp systemtilgang, og illustrerte at selv pålitelige, vanlige plattformer har utnyttbare svakheter. Storm-2949s kampanje viser at skyidentitetsinfrastruktur bærer den samme risikokategorien.

Når angripere etablerer fotfeste gjennom identitet i stedet for utnyttelser, blir innesperring betydelig mer kompleks.

Praktiske Mottiltak: MFA, Revisjonslogger og Smartere Skykonfigurasjon

Storm-2949-kampanjen peker på konkrete skritt organisasjoner og enkeltpersoner kan ta for å redusere eksponeringen.

• Revidér SSPR-konfigurasjonen din. Hvis selvbetjent passordtilbakestilling er aktivert, sjekk hvilke verifiseringsmetoder som kreves. Telefonbaserte gjenopprettingsalternativer kan avlyttes eller manipuleres gjennom sosial manipulering. Å kreve flere faktorer, eller bare begrense SSPR til administrerte enheter, hever terskelen betydelig for angripere.
• Håndhev phishing-resistent MFA på tvers av alle kontoer. Standard SMS-basert flerfaktorautentisering gir reell beskyttelse, men er fortsatt sårbar for SIM-bytte og visse sosial manipuleringstaktikker. Maskinvarebaserte sikkerhetsnøkler eller app-baserte autentiseringsløsninger som bruker FIDO2-standarder, er vesentlig vanskeligere å misbruke.
• Gjennomgå policyer for betinget tilgang. Både Microsoft 365 og Azure tilbyr kontroller for betinget tilgang som kan begrense pålogginger basert på enhetssamsvar, plassering og risikosignaler. Mange organisasjoner har disse funksjonene tilgjengelige, men bruker dem ikke.
• Overvåk for unormale datatilgangsmønstre. Selv når en angriper bruker legitim påloggingsinformasjon, bør tilgang til hundrevis av SharePoint-dokumenter eller nedlasting av store mengder OneDrive-filer i et kort tidsrom utløse varsler. Å konfigurere Microsoft Defender for Cloud Apps eller tilsvarende overvåkingsverktøy for å flagge massedatatilgang er et praktisk deteksjonslag.
• Vurder nettverksnivåbeskyttelse for skytilgang. Å bruke en VPN for å håndheve at tilgang til skytjenester kun skjer gjennom kjente, overvåkede nettverksstier kan bidra til å begrense angrepsoverflaten for misbruk av påloggingsinformasjon fra ukjente steder.

Hva Dette Betyr For Deg

Enten du administrerer et stort bedriftsmiljø eller bruker Microsoft 365 personlig til jobb, illustrerer Storm-2949-kampanjen at skysikkerhet ikke er en funksjon som er påslått som standard. Plattformer som Microsoft 365 og Azure tilbyr kraftige sikkerhetsverktøy, men disse verktøyene krever bevisst konfigurasjon og kontinuerlig overvåking for å være effektive.

Hvis organisasjonen din er avhengig av skylagring for sensitive data, er det nå på tide å revidere identitets- og tilgangskontrollene. Se spesielt på hvem som har SSPR aktivert, hvordan det verifiseres, om MFA håndheves konsekvent, og om overvåking av datatilgang er aktiv.

Å anta at plattformen håndterer sikkerhet automatisk, er nettopp den holdningen denne kampanjen utnyttet. Noen få timer brukt på å gjennomgå tilgangskontroller er en langt mindre kostnad enn å oppdage at dataene dine i OneDrive eller SharePoint er blitt stille og rolig eksfiltrert over dager eller uker.