Storm-2949 exploatează resetarea parolei Microsoft 365 pentru a sustrage date din cloud

Storm-2949 exploatează resetarea parolei Microsoft 365 pentru a sustrage date din cloud

Microsoft a publicat detalii despre o campanie sofisticată în mai multe etape, desfășurată de un actor al amenințărilor urmărit sub numele Storm-2949, care vizează organizații ce utilizează medii Microsoft 365 și Azure. Ceea ce face deosebit de remarcabil acest atac asupra credențialelor cloud din Microsoft 365 este punctul de intrare: o funcție pe care majoritatea administratorilor o consideră de rutină și cu risc scăzut, și anume resetarea parolei în mod self-service (SSPR). Odată pătrunși, atacatorii s-au deplasat discret prin OneDrive, SharePoint și baze de date SQL, extragând date de mare valoare înainte de a fi detectați.

Această campanie reamintește faptul că platformele cloud sunt doar atât de sigure pe cât sunt de solide configurațiile și presupunerile care le înconjoară.

Cum a transformat Storm-2949 resetarea parolei în mod self-service într-o armă

Resetarea parolei în mod self-service este o funcție de confort implementată pe scară largă. Ea permite angajaților să recapete accesul la cont fără a contacta departamentul IT, reducând volumul de muncă al serviciului de asistență și timpii de inactivitate. Majoritatea echipelor de securitate o tratează ca pe ceva benign. Storm-2949 a tratat-o ca pe o ușă.

Abuzând de funcționalitatea SSPR, actorul amenințării a reușit să compromită identități ale utilizatorilor fără a fi necesară spargerea parolelor prin forță brută sau implementarea de malware. Atacul a exploatat puncte slabe legate de modul în care SSPR este configurată sau verificată, permițând grupului să preia controlul asupra conturilor legitime. După ce acreditările au fost resetate și accesul a fost stabilit, atacatorii s-au integrat în activitatea normală a utilizatorilor, făcând detecția comportamentală semnificativ mai dificilă.

Această abordare este notabilă deoarece evită multe dintre semnalele pe care instrumentele de securitate pentru endpoint-uri sunt concepute să le detecteze. Nu există niciun executabil malițios, nicio descărcare suspectă, nicio semnătură evidentă de intruziune. Atacatorul pur și simplu se autentifică în calitate de utilizator valid.

Ce date au fost expuse — și de ce stocarea cloud este o țintă de mare valoare

După ce au obținut accesul inițial, Storm-2949 s-a deplasat prin ecosistemul Microsoft 365 și Azure cu un obiectiv clar: să extragă cât mai multe date de mare valoare posibil. OneDrive și SharePoint, utilizate în majoritatea mediilor enterprise pentru stocarea documentelor și colaborare, au fost ținte principale. Bazele de date SQL conectate la infrastructura Azure au fost, de asemenea, accesate și exfiltrate.

Volumul de date pe care organizațiile moderne le stochează în aceste servicii le face o țintă evidentă pentru actorii sofisticați ai amenințărilor. Contracte de afaceri, înregistrări financiare, date ale clienților, comunicații interne și cercetare proprie se regăsesc frecvent în SharePoint sau OneDrive. Bazele de date SQL conectate la Azure conțin adesea date operaționale structurate care pot fi monetizate sau utilizate pentru atacuri ulterioare.

Acest tipar reflectă îndeaproape ceea ce s-a observat în alte incidente de colectare a credențialelor la scară largă. Atacul de tip vishing al ShinyHunters care a expus 40 de milioane de înregistrări ale Charter Communications a urmat o logică similară: obțineți un acces cu aspect legitim, apoi extrageți cât mai multe date posibil înainte ca apărătorii să reacționeze. Stocarea cloud concentrează o valoare enormă într-un singur loc, ceea ce o face tocmai o țintă.

De ce atacurile bazate pe credențiale ocolesc apărările tradiționale

Arhitectura tradițională de securitate a fost construită în jurul ideii că atacatorii pătrund prin efracție. Ei exploatează vulnerabilități software, implementează malware sau interceptează traficul de rețea. Apărările perimetrale, instrumentele antivirus și sistemele de detecție a intruziunilor au fost toate concepute pentru a prinde aceste comportamente.

Atacurile bazate pe credențiale inversează această presupunere. Atacatorul nu pătrunde prin efracție; intră pe ușă. Atunci când Storm-2949 folosește SSPR pentru a prelua controlul asupra unui cont legitim, fiecare acțiune ulterioară arată ca și cum utilizatorul respectiv lucrează normal. Jurnalele de acces la fișiere afișează o identitate recunoscută. Traficul de rețea provine din serviciile așteptate. Pragurile de alertă configurate pentru a detecta comportamente anormale pot să nu se declanșeze niciodată.

Aceasta este aceeași categorie de risc care face vulnerabilitățile browserelor și ale platformelor atât de periculoase. Cercetătorii de la Pwn2Own Berlin 2026 au demonstrat cum zero-day-uri pentru Windows 11 și Edge puteau fi înlănțuite pentru a obține acces profund la sistem, ilustrând faptul că până și platformele de încredere, mainstream, conțin puncte slabe exploatabile. Campania Storm-2949 arată că infrastructura de identitate cloud prezintă aceeași categorie de risc.

Odată ce atacatorii stabilesc un punct de sprijin prin identitate, mai degrabă decât prin exploatări, izolarea devine semnificativ mai complexă.

Măsuri practice de reducere a riscurilor: MFA, jurnale de audit și o configurare mai inteligentă a cloud-ului

Campania Storm-2949 indică pași concreți pe care organizațiile și indivizii îi pot face pentru a reduce expunerea.

Auditați configurația SSPR. Dacă resetarea parolei în mod self-service este activată, verificați ce metode de verificare sunt necesare. Opțiunile de recuperare bazate pe telefon pot fi interceptate sau exploatate prin inginerie socială. Solicitarea de factori multipli sau restricționarea SSPR doar la dispozitivele gestionate ridică semnificativ bariera pentru atacatori.

Impuneți MFA rezistentă la phishing pentru toate conturile. Autentificarea standard multifactor bazată pe SMS oferă o protecție reală, dar rămâne vulnerabilă la SIM-swapping și la anumite tactici de inginerie socială. Cheile de securitate hardware sau autentificatorii pe bază de aplicație care utilizează standarde FIDO2 sunt mult mai greu de exploatat abuziv.

Revizuiți politicile de acces condiționat. Microsoft 365 și Azure oferă ambele controale de acces condiționat care pot restricționa autentificările pe baza conformității dispozitivului, locației și semnalelor de risc. Multe organizații au aceste funcții disponibile, dar nu le utilizează.

Monitorizați tiparele anormale de acces la date. Chiar și atunci când un atacator folosește credențiale legitime, accesarea a sute de documente SharePoint sau descărcarea unor volume mari de fișiere OneDrive într-un interval scurt ar trebui să declanșeze alerte. Configurarea Microsoft Defender for Cloud Apps sau a unor instrumente echivalente de monitorizare pentru a semnala accesul în masă la date reprezintă un strat practic de detecție.

Luați în considerare protecții la nivel de rețea pentru accesul cloud. Utilizarea unui VPN pentru a impune ca accesul la serviciile cloud să aibă loc doar prin căi de rețea cunoscute și monitorizate poate contribui la limitarea suprafeței de atac pentru utilizarea abuzivă a credențialelor din locații necunoscute.

Ce înseamnă acest lucru pentru dumneavoastră

Indiferent dacă gestionați un mediu enterprise mare sau utilizați Microsoft 365 personal pentru muncă, campania Storm-2949 ilustrează faptul că securitatea cloud nu este o funcție activată implicit. Platforme precum Microsoft 365 și Azure oferă instrumente puternice de securitate, însă aceste instrumente necesită configurare deliberată și monitorizare continuă pentru a fi eficiente.

Dacă organizația dumneavoastră se bazează pe stocarea în cloud pentru date sensibile, acum este momentul să auditați controalele de identitate și acces. Mai precis, verificați cine are SSPR activată, cum este verificată, dacă MFA este aplicată consecvent și dacă monitorizarea accesului la date este activă.

A presupune că platforma se ocupă automat de securitate este exact poziția pe care această campanie a exploatat-o. Câteva ore petrecute revizuind controalele de acces reprezintă un cost mult mai mic decât să descoperiți că datele din OneDrive sau SharePoint au fost exfiltrate în tăcere pe parcursul a zile sau săptămâni.