Storm-2949 utnyttjar lösenordsåterställning i Microsoft 365 för att tömma molndata

Storm-2949 utnyttjar lösenordsåterställning i Microsoft 365 för att tömma molndata

Microsoft har publicerat detaljer om en sofistikerad flerstegskampanj utförd av en hotaktör som spåras som Storm-2949, riktad mot organisationer som använder Microsoft 365- och Azure-miljöer. Det som gör denna attack mot molnbehörigheter i Microsoft 365 särskilt slående är ingångspunkten: en funktion som de flesta administratörer betraktar som rutinmässig och lågrisk, nämligen självbetjäning för lösenordsåterställning (SSPR). Väl inne rörde sig angriparna tyst genom OneDrive, SharePoint och SQL-databaser och extraherade högvärdig data innan de upptäcktes.

Denna kampanj är en tydlig påminnelse om att molnplattformar bara är så säkra som de konfigurationer och antaganden som byggts runt dem.

Hur Storm-2949 beväpnade självbetjäning för lösenordsåterställning

Självbetjäning för lösenordsåterställning är en allmänt implementerad bekvämlighetsfunktion. Den låter anställda återfå åtkomst till sina konton utan att kontakta IT, vilket minskar belastningen på helpdesk och stilleståndstid. De flesta säkerhetsteam behandlar den som harmlös. Storm-2949 behandlade den som en dörr.

Genom att missbruka SSPR-funktionaliteten kunde hotaktören kompromettera användaridentiteter utan att behöva knäcka lösenord genom brute force eller distribuera skadlig kod. Attacken utnyttjade svagheter i hur SSPR konfigureras eller verifieras, vilket gjorde det möjligt för gruppen att ta kontroll över legitima konton. När autentiseringsuppgifterna återställts och åtkomst etablerats smälte angriparna in i normal användaraktivitet, vilket gjorde beteendebaserad detektion betydligt svårare.

Detta tillvägagångssätt är anmärkningsvärt eftersom det kringgår många av de signaler som slutpunktssäkerhetsverktyg är utformade för att fånga. Det finns ingen skadlig körbar fil, ingen misstänkt nedladdning, ingen uppenbar intrångssignatur. Angriparen loggar helt enkelt in som en giltig användare.

Vilka data exponerades – och varför molnlagring är ett högvärdigt mål

Efter att ha fått initial åtkomst rörde sig Storm-2949 genom Microsoft 365- och Azure-ekosystemet med ett tydligt mål: att extrahera så mycket högvärdig data som möjligt. OneDrive och SharePoint, som används i de flesta företagsmiljöer för dokumentlagring och samarbete, var primära mål. SQL-databaser anslutna till Azure-infrastruktur nåddes också och exfiltrerades.

Omfattningen av vad moderna organisationer lagrar i dessa tjänster gör dem till självklara fokus för sofistikerade hotaktörer. Affärskontrakt, finansiella register, kunddata, intern kommunikation och egenutvecklad forskning finns ofta i SharePoint eller OneDrive. SQL-databaser anslutna till Azure innehåller ofta strukturerad operativ data som kan omvandlas till pengar eller användas för uppföljningsattacker.

Detta mönster speglar nära vad som observerats i andra storskaliga incidenter med insamling av autentiseringsuppgifter. ShinyHunters vishingattack som exponerade 40 miljoner Charter Communications-kundposter följde en liknande logik: skaffa legitim åtkomst och extrahera sedan så mycket data som möjligt innan försvararna reagerar. Molnlagring samlar enormt värde på ett ställe, vilket är precis vad som gör det till ett mål.

Varför autentiseringsbaserade attacker kringgår traditionella försvar

Traditionell säkerhetsarkitektur byggdes kring tanken att angripare bryter sig in. De utnyttjar sårbarheter i programvara, distribuerar skadlig kod eller fångar upp nätverkstrafik. Perimeterskydd, antivirusverktyg och intrångsdetekteringssystem utformades alla för att fånga dessa beteenden.

Autentiseringsbaserade attacker vänder på det antagandet. Angriparen bryter sig inte in; de promenerar in. När Storm-2949 använder SSPR för att ta kontroll över ett legitimt konto ser varje efterföljande handling ut som att den användaren arbetar normalt. Loggar över filåtkomst visar en känd identitet. Nätverkstrafik kommer från förväntade tjänster. Larmtrösklar som kalibrerats för att fånga avvikande beteende kanske aldrig utlöses.

Detta är samma typ av risk som gör sårbarheter i webbläsare och plattformar så farliga. Forskare vid Pwn2Own Berlin 2026 visade hur Windows 11- och Edge-nolldagar kunde kedjas samman för att få djup systemåtkomst, vilket illustrerar att även betrodda, vanligt förekommande plattformar har exploaterbara svagheter. Storm-2949:s kampanj visar att molnidentitetsinfrastruktur bär samma typ av risk.

När angripare väl etablerar ett fotfäste genom identitet snarare än exploits blir inneslutning betydligt mer komplex.

Praktiska skyddsåtgärder: MFA, granskningsloggar och smartare molnkonfiguration

Storm-2949-kampanjen pekar på konkreta steg som organisationer och individer kan vidta för att minska exponeringen.

Granska din SSPR-konfiguration. Om självbetjäning för lösenordsåterställning är aktiverad, verifiera vilka verifieringsmetoder som krävs. Telefonbaserade återställningsalternativ kan avlyssnas eller manipuleras socialt. Att kräva flera faktorer, eller begränsa SSPR till hanterade enheter, höjer ribban avsevärt för angripare.

Tillämpa phishing-resistent MFA på alla konton. Standard-SMS-baserad multifaktorautentisering erbjuder verkligt skydd men är fortfarande sårbar för SIM-swapping och viss social manipulation. Hårdvarusäkerhetsnycklar eller appbaserade autentiserare som använder FIDO2-standarder är avsevärt svårare att missbruka.

Se över principer för villkorlig åtkomst. Både Microsoft 365 och Azure erbjuder kontroller för villkorlig åtkomst som kan begränsa inloggningar baserat på enhetsefterlevnad, plats och risksignaler. Många organisationer har dessa funktioner tillgängliga men använder dem inte.

Övervaka för avvikande dataåtkomstmönster. Även när en angripare använder legitima autentiseringsuppgifter bör åtkomst till hundratals SharePoint-dokument eller nedladdning av stora volymer OneDrive-filer inom ett kort tidsfönster utlösa larm. Att konfigurera Microsoft Defender for Cloud Apps eller motsvarande övervakningsverktyg för att flagga massdataåtkomst är ett praktiskt detekteringslager.

Överväg nätverksbaserade skydd för molnåtkomst. Att använda ett VPN för att tvinga fram att molntjänståtkomst endast sker via kända, övervakade nätverksvägar kan bidra till att begränsa attackytan för missbruk av autentiseringsuppgifter från okända platser.

Vad detta innebär för dig

Oavsett om du hanterar en stor företagsmiljö eller använder Microsoft 365 privat för arbete, visar Storm-2949-kampanjen att molnsäkerhet inte är en funktion som är påslagen som standard. Plattformar som Microsoft 365 och Azure tillhandahåller kraftfulla säkerhetsverktyg, men dessa verktyg kräver medveten konfiguration och kontinuerlig övervakning för att vara effektiva.

Om din organisation förlitar sig på molnlagring för känslig data är det nu dags att granska dina identitets- och åtkomstkontroller. Kontrollera specifikt vem som har SSPR aktiverat, hur det verifieras, om MFA tillämpas konsekvent och om dataåtkomstövervakning är aktiv.

Att anta att plattformen hanterar säkerhet automatiskt är exakt den hållning som denna kampanj utnyttjade. Några timmars granskning av åtkomstkontroller är en långt mindre kostnad än att upptäcka att din OneDrive- eller SharePoint-data har exfiltrerats tyst under dagar eller veckor.