Storm-2949 ใช้ประโยชน์จากการรีเซ็ตรหัสผ่าน Microsoft 365 เพื่อดูดข้อมูลจากคลาวด์

Storm-2949 ใช้ประโยชน์จากการรีเซ็ตรหัสผ่าน Microsoft 365 เพื่อดูดข้อมูลจากคลาวด์

Microsoft ได้เผยแพร่รายละเอียดเกี่ยวกับแคมเปญหลายขั้นตอนที่ซับซ้อน ซึ่งดำเนินการโดยกลุ่มภัยคุกคามที่ถูกติดตามในชื่อ Storm-2949 โดยมุ่งเป้าไปที่องค์กรที่ใช้งาน Microsoft 365 และ Azure จุดเด่นของการโจมตีด้วยข้อมูลประจำตัวบนคลาวด์ต่อ Microsoft 365 นี้คือจุดเริ่มต้น: ฟีเจอร์ที่ผู้ดูแลระบบส่วนใหญ่มองว่าเป็นเรื่องปกติและมีความเสี่ยงต่ำ นั่นคือการรีเซ็ตรหัสผ่านด้วยตนเอง (self-service password reset: SSPR) เมื่อเข้ามาได้แล้ว ผู้โจมตีจะเคลื่อนที่อย่างเงียบเชียบผ่าน OneDrive, SharePoint และฐานข้อมูล SQL เพื่อดึงข้อมูลที่มีมูลค่าสูงออกไปก่อนที่จะถูกตรวจพบ

แคมเปญนี้เป็นเครื่องเตือนใจที่ชัดเจนว่าแพลตฟอร์มคลาวด์จะปลอดภัยได้เพียงเท่ากับการกำหนดค่าและสมมติฐานที่วางไว้รอบ ๆ ตัวมันเท่านั้น

Storm-2949 เปลี่ยนการรีเซ็ตรหัสผ่านด้วยตนเองให้กลายเป็นอาวุธได้อย่างไร

การรีเซ็ตรหัสผ่านด้วยตนเองเป็นฟีเจอร์อำนวยความสะดวกที่ถูกใช้งานอย่างกว้างขวาง ช่วยให้พนักงานสามารถกู้คืนสิทธิ์การเข้าถึงบัญชีได้โดยไม่ต้องติดต่อฝ่ายไอที ลดภาระงานของฝ่ายช่วยเหลือและลดเวลาหยุดทำงาน ทีมรักษาความปลอดภัยส่วนใหญ่มองว่ามันไม่เป็นอันตราย แต่ Storm-2949 มองว่ามันคือประตู

ด้วยการใช้ฟังก์ชัน SSPR ในทางที่ผิด กลุ่มภัยคุกคามสามารถบุกรุกข้อมูลประจำตัวผู้ใช้ได้โดยไม่ต้องเจาะรหัสผ่านด้วยวิธีการ brute force หรือใช้มัลแวร์ การโจมตีใช้ประโยชน์จากจุดอ่อนในวิธีการกำหนดค่าหรือยืนยันตัวตนของ SSPR ทำให้กลุ่มผู้ไม่หวังดีสามารถยึดการควบคุมบัญชีที่ถูกต้องตามกฎหมายได้ เมื่อรีเซ็ตข้อมูลประจำตัวและสร้างการเข้าถึงได้แล้ว ผู้โจมตีจะกลมกลืนไปกับกิจกรรมของผู้ใช้ปกติ ทำให้การตรวจจับด้วยพฤติกรรมทำได้ยากขึ้นอย่างมาก

วิธีการนี้มีความน่าสนใจเพราะมันหลบเลี่ยงสัญญาณหลายอย่างที่เครื่องมือรักษาความปลอดภัยบนอุปกรณ์ปลายทางถูกออกแบบมาให้ตรวจจับ ไม่มีไฟล์ปฏิบัติการที่เป็นอันตราย ไม่มีการดาวน์โหลดที่น่าสงสัย ไม่มีลายเซ็นการบุกรุกที่ชัดเจน ผู้โจมตีเพียงแค่เข้าสู่ระบบในฐานะผู้ใช้ที่ถูกต้อง

ข้อมูลใดที่ถูกเปิดเผย — และเหตุใดที่เก็บข้อมูลบนคลาวด์จึงเป็นเป้าหมายมูลค่าสูง

หลังจากได้สิทธิ์การเข้าถึงครั้งแรก Storm-2949 ได้เคลื่อนที่ผ่านระบบนิเวศของ Microsoft 365 และ Azure โดยมีวัตถุประสงค์ที่ชัดเจน: ดึงข้อมูลที่มีมูลค่าสูงออกไปให้มากที่สุด OneDrive และ SharePoint ซึ่งถูกใช้ในสภาพแวดล้อมองค์กรส่วนใหญ่สำหรับการจัดเก็บเอกสารและการทำงานร่วมกัน คือเป้าหมายหลัก ฐานข้อมูล SQL ที่เชื่อมต่อกับโครงสร้างพื้นฐานของ Azure ก็ถูกเข้าถึงและนำข้อมูลออกไปเช่นกัน

ขนาดของสิ่งที่องค์กรยุคใหม่จัดเก็บไว้ในบริการเหล่านี้ทำให้พวกมันกลายเป็นจุดสนใจที่ชัดเจนสำหรับกลุ่มภัยคุกคามที่ซับซ้อน สัญญาทางธุรกิจ บันทึกทางการเงิน ข้อมูลลูกค้า การสื่อสารภายใน และงานวิจัยที่เป็นกรรมสิทธิ์ ล้วนมักพักอยู่ใน SharePoint หรือ OneDrive ฐานข้อมูล SQL ที่เชื่อมต่อกับ Azure มักจะมีข้อมูลปฏิบัติการที่มีโครงสร้างซึ่งสามารถนำไปสร้างรายได้หรือใช้ในการโจมตีต่อเนื่องได้

รูปแบบนี้สะท้อนให้เห็นอย่างใกล้ชิดกับสิ่งที่เคยพบในเหตุการณ์เก็บเกี่ยวข้อมูลประจำตัวขนาดใหญ่อื่น ๆ การโจมตีแบบ vishing ของ ShinyHunters ที่เปิดเผยข้อมูล 40 ล้านรายการของ Charter Communications ก็ใช้ตรรกะคล้ายกัน: ได้รับการเข้าถึงที่ดูเหมือนถูกต้องตามกฎหมาย จากนั้นจึงดึงข้อมูลออกไปให้มากที่สุดก่อนที่ฝ่ายป้องกันจะตอบสนอง ที่เก็บข้อมูลบนคลาวด์รวมมูลค่ามหาศาลไว้ในที่เดียว ซึ่งนั่นเองที่ทำให้มันตกเป็นเป้าหมาย

เหตุใดการโจมตีที่อาศัยข้อมูลประจำตัวจึงข้ามผ่านการป้องกันแบบดั้งเดิม

สถาปัตยกรรมความปลอดภัยแบบดั้งเดิมถูกสร้างขึ้นจากแนวคิดที่ว่าผู้โจมตีเจาะเข้ามา พวกเขาใช้ประโยชน์จากช่องโหว่ซอฟต์แวร์ ปล่อยมัลแวร์ หรือดักจับการจราจรเครือข่าย ระบบป้องกันขอบเขตเครือข่าย เครื่องมือแอนตี้ไวรัส และระบบตรวจจับการบุกรุกถูกออกแบบมาเพื่อตรวจจับพฤติกรรมเหล่านั้น

การโจมตีที่อาศัยข้อมูลประจำตัวพลิกสมมติฐานนั้น ผู้โจมตีไม่ได้เจาะเข้ามา พวกเขาเดินเข้ามา เมื่อ Storm-2949 ใช้ SSPR เพื่อยึดการควบคุมบัญชีที่ถูกต้องตามกฎหมาย ทุกการกระทำต่อจากนั้นจะดูเหมือนผู้ใช้คนนั้นกำลังทำงานตามปกติ บันทึกการเข้าถึงไฟล์แสดงอัตลักษณ์ที่รู้จัก การจราจรเครือข่ายมีต้นทางจากบริการที่ถูกคาดหมาย เกณฑ์การแจ้งเตือนที่ปรับตั้งไว้เพื่อตรวจจับพฤติกรรมผิดปกติอาจไม่ถูกกระตุ้นเลย

นี่คือประเภทความเสี่ยงเดียวกับที่ทำให้ช่องโหว่ของเบราว์เซอร์และแพลตฟอร์มนั้นอันตรายอย่างยิ่ง นักวิจัยที่ Pwn2Own Berlin 2026 สาธิตให้เห็นว่า ซีโร่เดย์ของ Windows 11 และ Edge สามารถถูกลูกโซ่เข้าด้วยกันเพื่อเจาะเข้าถึงระบบในระดับลึกได้อย่างไร ซึ่งแสดงให้เห็นว่าแม้แต่แพลตฟอร์มกระแสหลักที่เชื่อถือได้ก็ยังมีจุดอ่อนที่ใช้ประโยชน์ได้ แคมเปญของ Storm-2949 แสดงให้เห็นว่าโครงสร้างพื้นฐานด้านอัตลักษณ์บนคลาวด์ก็มีความเสี่ยงประเภทเดียวกัน

เมื่อผู้โจมตีตั้งหลักได้ผ่านอัตลักษณ์แทนที่จะเป็นช่องโหว่ การควบคุมสถานการณ์จะซับซ้อนขึ้นอย่างมาก

มาตรการบรรเทาผลกระทบที่ปฏิบัติได้จริง: MFA, บันทึกการตรวจสอบ และการกำหนดค่าคลาวด์ที่ชาญฉลาดขึ้น

แคมเปญของ Storm-2949 ชี้ให้เห็นขั้นตอนที่เป็นรูปธรรมที่องค์กรและบุคคลสามารถนำไปปฏิบัติเพื่อลดความเสี่ยง

ตรวจสอบการกำหนดค่า SSPR ของคุณ หากเปิดใช้งานการรีเซ็ตรหัสผ่านด้วยตนเอง ให้ตรวจสอบว่าต้องใช้วิธีการยืนยันใดบ้าง ตัวเลือกการกู้คืนผ่านโทรศัพท์อาจถูกดักฟังหรือวิศวกรรมสังคม การบังคับให้ใช้หลายปัจจัย หรือจำกัด SSPR เฉพาะอุปกรณ์ที่มีการจัดการ จะเพิ่มอุปสรรคให้ผู้โจมตีอย่างมาก

บังคับใช้ MFA ที่ต้านทานฟิชชิ่งในทุกบัญชี การยืนยันตัวตนหลายปัจจัยแบบ SMS มาตรฐานให้การป้องกันที่แท้จริง แต่ยังคงเสี่ยงต่อการสลับซิมและกลวิธีวิศวกรรมสังคมบางรูปแบบ กุญแจความปลอดภัยแบบฮาร์ดแวร์หรือตัวยืนยันตัวตนบนแอปที่ใช้มาตรฐาน FIDO2 นั้นยากกว่ามากที่จะนำไปใช้ในทางที่ผิด

ตรวจสอบนโยบายการเข้าถึงตามเงื่อนไข ทั้ง Microsoft 365 และ Azure มีการควบคุมการเข้าถึงตามเงื่อนไขที่สามารถจำกัดการเข้าสู่ระบบตามการปฏิบัติตามข้อกำหนดของอุปกรณ์ ตำแหน่งที่ตั้ง และสัญญาณความเสี่ยง หลายองค์กรมีฟีเจอร์เหล่านี้ให้ใช้งานแต่ไม่ได้ใช้

เฝ้าติดตามรูปแบบการเข้าถึงข้อมูลที่ผิดปกติ แม้เมื่อผู้โจมตีใช้ข้อมูลประจำตัวที่ถูกต้อง การเข้าถึงเอกสาร SharePoint หลายร้อยฉบับหรือการดาวน์โหลดไฟล์ OneDrive ปริมาณมากในช่วงเวลาสั้น ๆ ก็ควรกระตุ้นการแจ้งเตือน การกำหนดค่า Microsoft Defender for Cloud Apps หรือเครื่องมือเฝ้าติดตามที่เทียบเท่าเพื่อตรวจจับการเข้าถึงข้อมูลปริมาณมากเป็นชั้นการตรวจจับที่ใช้ได้จริง

พิจารณาการป้องกันระดับเครือข่ายสำหรับการเข้าถึงคลาวด์ การใช้ VPN เพื่อบังคับให้การเข้าถึงบริการคลาวด์เกิดขึ้นผ่านเส้นทางเครือข่ายที่รู้จักและมีการเฝ้าติดตามเท่านั้น จะช่วยจำกัดพื้นผิวการโจมตีสำหรับการใช้ข้อมูลประจำตัวในทางที่ผิดจากตำแหน่งที่ไม่คุ้นเคย

สิ่งนี้มีความหมายสำหรับคุณ

ไม่ว่าคุณจะจัดการสภาพแวดล้อมองค์กรขนาดใหญ่หรือใช้ Microsoft 365 เป็นการส่วนตัวในการทำงาน แคมเปญของ Storm-2949 แสดงให้เห็นว่าความปลอดภัยบนคลาวด์ไม่ใช่ฟีเจอร์ที่เปิดใช้งานโดยปริยาย แพลตฟอร์มอย่าง Microsoft 365 และ Azure มีเครื่องมือความปลอดภัยที่ทรงพลัง แต่เครื่องมือเหล่านั้นต้องการการกำหนดค่าที่ตั้งใจและการเฝ้าติดตามอย่างต่อเนื่องจึงจะมีประสิทธิผล

หากองค์กรของคุณพึ่งพาที่เก็บข้อมูลบนคลาวด์สำหรับข้อมูลที่ละเอียดอ่อน ถึงเวลาแล้วที่จะตรวจสอบการควบคุมอัตลักษณ์และการเข้าถึงของคุณ โดยเฉพาะ ตรวจสอบว่าใครเปิดใช้งาน SSPR ไว้บ้าง มีการยืนยันอย่างไร มีการบังคับใช้ MFA อย่างสม่ำเสมอหรือไม่ และการเฝ้าติดตามการเข้าถึงข้อมูลเปิดใช้งานอยู่หรือไม่

การทึกทักว่าแพลตฟอร์มจัดการความปลอดภัยให้โดยอัตโนมัติ คือจุดยืนที่แคมเปญนี้ใช้ประโยชน์อย่างแท้จริง การใช้เวลาไม่กี่ชั่วโมงตรวจสอบการควบคุมการเข้าถึงมีต้นทุนที่น้อยกว่ามากเมื่อเทียบกับการค้นพบว่าข้อมูล OneDrive หรือ SharePoint ของคุณถูกดูดออกไปอย่างเงียบ ๆ เป็นวันหรือหลายสัปดาห์