Storm-2949 wykorzystuje resetowanie hasła w Microsoft 365 do kradzieży danych z chmury

Storm-2949 wykorzystuje resetowanie hasła w Microsoft 365 do kradzieży danych z chmury

Microsoft opublikował szczegóły dotyczące złożonej, wieloetapowej kampanii przeprowadzonej przez aktora zagrożeń śledzonego jako Storm-2949, wymierzonej w organizacje korzystające ze środowisk Microsoft 365 i Azure. Tym, co czyni ten atak na dane uwierzytelniające w chmurze Microsoft 365 szczególnie uderzającym, jest punkt wejścia: funkcja, którą większość administratorów uważa za rutynową i niskiego ryzyka – samoobsługowe resetowanie hasła (SSPR). Po dostaniu się do środka atakujący przemieszczali się cicho przez OneDrive, SharePoint i bazy danych SQL, wydobywając cenne dane, zanim zostali wykryci.

Ta kampania stanowi wyraziste przypomnienie, że platformy chmurowe są tak bezpieczne, jak konfiguracje i założenia, na których się opierają.

Jak Storm-2949 zmienił samoobsługowe resetowanie hasła w broń

Samoobsługowe resetowanie hasła jest powszechnie wdrażaną funkcją ułatwiającą życie. Pozwala pracownikom odzyskać dostęp do konta bez konieczności kontaktowania się z działem IT, zmniejszając obciążenie help desku i przestoje. Większość zespołów bezpieczeństwa traktuje ją jako coś nieszkodliwego. Storm-2949 potraktował ją jako drzwi.

Nadużywając funkcji SSPR, aktor zagrożeń był w stanie przejąć tożsamości użytkowników bez konieczności łamania haseł metodą brute force czy wdrażania złośliwego oprogramowania. Atak wykorzystywał słabości w konfiguracji lub weryfikacji SSPR, umożliwiając grupie przejęcie kontroli nad prawidłowymi kontami. Gdy poświadczenia zostały zresetowane i uzyskano dostęp, atakujący wtopili się w normalną aktywność użytkowników, co sprawiło, że wykrycie na podstawie analizy zachowań stało się znacznie trudniejsze.

To podejście jest godne uwagi, ponieważ omija wiele sygnałów, które narzędzia bezpieczeństwa punktów końcowych zostały zaprojektowane do wychwytywania. Nie ma złośliwego pliku wykonywalnego, żadnego podejrzanego pobrania, żadnej widocznej sygnatury włamania. Atakujący po prostu loguje się jako prawidłowy użytkownik.

Jakie dane zostały ujawnione — i dlaczego przechowywanie w chmurze jest cennym celem

Po uzyskaniu początkowego dostępu, Storm-2949 przemieszczał się przez ekosystem Microsoft 365 i Azure z jasnym celem: wydobyć jak najwięcej cennych danych. OneDrive i SharePoint, używane w większości środowisk korporacyjnych do przechowywania dokumentów i współpracy, stały się głównymi celami. Uzyskano również dostęp do baz danych SQL połączonych z infrastrukturą Azure i wykradziono z nich dane.

Skala tego, co współczesne organizacje przechowują w tych usługach, sprawia, że są one oczywistym celem dla zaawansowanych aktorów zagrożeń. Umowy biznesowe, dokumentacja finansowa, dane klientów, komunikacja wewnętrzna i zastrzeżone badania często znajdują się w SharePoint lub OneDrive. Bazy danych SQL połączone z Azure często zawierają ustrukturyzowane dane operacyjne, które można spieniężyć lub wykorzystać do kolejnych ataków.

Ten schemat ściśle odzwierciedla to, co zaobserwowano w innych incydentach kradzieży danych uwierzytelniających na dużą skalę. Atak vishingowy grupy ShinyHunters, który ujawnił 40 milionów rekordów Charter Communications opierał się na podobnej logice: zdobądź dostęp wyglądający na legalny, a następnie wydobądź jak najwięcej danych, zanim obrońcy zareagują. Przechowywanie w chmurze konsoliduje ogromną wartość w jednym miejscu, co właśnie czyni ją celem.

Dlaczego ataki oparte na danych uwierzytelniających omijają tradycyjne mechanizmy obronne

Tradycyjna architektura bezpieczeństwa została zbudowana wokół założenia, że atakujący włamują się. Wykorzystują luki w oprogramowaniu, wdrażają złośliwe oprogramowanie lub przechwytują ruch sieciowy. Zapory perymetryczne, narzędzia antywirusowe i systemy wykrywania włamań zostały zaprojektowane właśnie do wychwytywania takich zachowań.

Ataki oparte na danych uwierzytelniających odwracają to założenie. Atakujący nie włamuje się; po prostu wchodzi. Gdy Storm-2949 używa SSPR, by przejąć kontrolę nad prawidłowym kontem, każde kolejne działanie wygląda jak normalna praca tego użytkownika. Dzienniki dostępu do plików pokazują rozpoznaną tożsamość. Ruch sieciowy pochodzi z oczekiwanych usług. Progi alertów skalibrowane do wykrywania nietypowego zachowania mogą nigdy nie zostać przekroczone.

To ta sama kategoria ryzyka, która sprawia, że luki w przeglądarkach i platformach są tak niebezpieczne. Badacze podczas Pwn2Own Berlin 2026 pokazali, jak zero-daye w Windows 11 i Edge można połączyć, aby uzyskać głęboki dostęp do systemu, ilustrując, że nawet zaufane, głównego nurtu platformy mają możliwe do wykorzystania słabości. Kampania Storm-2949 pokazuje, że infrastruktura tożsamości w chmurze niesie tę samą kategorię ryzyka.

Gdy atakujący utworzą przyczółek za pomocą tożsamości, a nie exploitów, powstrzymanie ataku staje się znacznie bardziej skomplikowane.

Praktyczne środki zaradcze: MFA, dzienniki audytu i inteligentniejsza konfiguracja chmury

Kampania Storm-2949 wskazuje na konkretne kroki, które organizacje i osoby prywatne mogą podjąć, aby zmniejszyć narażenie.

Sprawdź konfigurację SSPR. Jeśli samoobsługowe resetowanie hasła jest włączone, zweryfikuj, jakie metody weryfikacji są wymagane. Opcje odzyskiwania oparte na telefonie mogą zostać przechwycone lub wykorzystane w atakach socjotechnicznych. Wymaganie wielu czynników lub ograniczenie SSPR tylko do zarządzanych urządzeń znacząco podnosi poprzeczkę dla atakujących.

Wymuszaj odporne na phishing uwierzytelnianie wieloskładnikowe (MFA) na wszystkich kontach. Standardowe uwierzytelnianie wieloskładnikowe oparte na SMS-ach oferuje rzeczywistą ochronę, ale pozostaje podatne na zamianę karty SIM i niektóre taktyki socjotechniczne. Klucze bezpieczeństwa sprzętowe lub aplikacje uwierzytelniające oparte na standardzie FIDO2 są znacznie trudniejsze do nadużycia.

Przejrzyj zasady dostępu warunkowego. Microsoft 365 i Azure oferują kontrolę dostępu warunkowego, która może ograniczać logowanie na podstawie zgodności urządzenia, lokalizacji i sygnałów ryzyka. Wiele organizacji ma te funkcje dostępne, ale z nich nie korzysta.

Monitoruj nietypowe wzorce dostępu do danych. Nawet jeśli atakujący używa prawidłowych poświadczeń, dostęp do setek dokumentów SharePoint lub pobieranie dużych ilości plików OneDrive w krótkim czasie powinno wywołać alerty. Skonfigurowanie Microsoft Defender for Cloud Apps lub równoważnych narzędzi monitorujących do oznaczania masowego dostępu do danych stanowi praktyczną warstwę detekcji.

Rozważ zabezpieczenia na poziomie sieci dla dostępu do chmury. Korzystanie z VPN, aby wymusić dostęp do usług chmurowych wyłącznie przez znane, monitorowane ścieżki sieciowe, może pomóc ograniczyć powierzchnię ataku w przypadku nadużycia poświadczeń z nieznanych lokalizacji.

Co to oznacza dla Ciebie

Niezależnie od tego, czy zarządzasz dużym środowiskiem korporacyjnym, czy używasz Microsoft 365 osobiście do pracy, kampania Storm-2949 pokazuje, że bezpieczeństwo w chmurze nie jest funkcją działającą domyślnie. Platformy takie jak Microsoft 365 i Azure dostarczają potężnych narzędzi bezpieczeństwa, ale wymagają one świadomej konfiguracji i ciągłego monitorowania, aby były skuteczne.

Jeśli Twoja organizacja polega na przechowywaniu danych w chmurze w przypadku wrażliwych informacji, teraz jest czas na przeprowadzenie audytu kontroli tożsamości i dostępu. W szczególności sprawdź, kto ma włączoną funkcję SSPR, jak jest weryfikowana, czy MFA jest konsekwentnie egzekwowane i czy monitorowanie dostępu do danych jest aktywne.

Zakładanie, że platforma automatycznie zajmuje się bezpieczeństwem, jest dokładnie taką postawą, którą wykorzystała ta kampania. Kilka godzin spędzonych na przeglądzie kontroli dostępu to znacznie mniejszy koszt niż odkrycie, że dane z OneDrive lub SharePoint zostały po cichu wykradzione przez wiele dni lub tygodni.