Storm-2949, Bulut Verilerini Sızdırmak İçin Microsoft 365 Parola Sıfırlama Özelliğini İstismar Ediyor

Storm-2949, Bulut Verilerini Sızdırmak İçin Microsoft 365 Parola Sıfırlama Özelliğini İstismar Ediyor

Microsoft, Storm-2949 olarak takip edilen bir tehdit aktörünün Microsoft 365 ve Azure ortamlarını kullanan kuruluşları hedef alan sofistike, çok aşamalı bir kampanya yürüttüğüne dair ayrıntıları yayımladı. Bu Microsoft 365 bulut kimlik bilgisi saldırısını özellikle çarpıcı kılan şey, giriş noktası: çoğu yöneticinin rutin ve düşük riskli olarak değerlendirdiği bir özellik, yani self servis parola sıfırlama (SSPR). İçeri girdikten sonra saldırganlar, tespit edilmeden önce OneDrive, SharePoint ve SQL veritabanları arasında sessizce dolaşarak yüksek değerli verileri çıkardı.

Bu kampanya, bulut platformlarının ancak etraflarına inşa edilen yapılandırmalar ve varsayımlar kadar güvenli olduğuna dair çarpıcı bir hatırlatmadır.

Storm-2949 Self Servis Parola Sıfırlamayı Nasıl Silahlandırdı?

Self servis parola sıfırlama, yaygın olarak kullanılan bir kolaylık özelliğidir. Çalışanların BT ile iletişime geçmeden hesap erişimini yeniden kazanmasını sağlar, yardım masası yükünü ve kesinti süresini azaltır. Çoğu güvenlik ekibi bunu zararsız olarak görür. Storm-2949 ise bunu bir kapı olarak değerlendirdi.

Tehdit aktörü, SSPR işlevselliğini kötüye kullanarak, kaba kuvvet yoluyla parolaları kırmaya veya kötü amaçlı yazılım dağıtmaya gerek kalmadan kullanıcı kimliklerini ele geçirebildi. Saldırı, SSPR'nin yapılandırılma veya doğrulanma şeklindeki zayıflıklardan yararlanarak grubun meşru hesapların kontrolünü üstlenmesine olanak tanıdı. Kimlik bilgileri sıfırlanıp erişim sağlandıktan sonra saldırganlar normal kullanıcı faaliyetine karıştı ve davranışsal tespiti önemli ölçüde zorlaştırdı.

Bu yaklaşım, uç nokta güvenlik araçlarının yakalamak üzere tasarlandığı birçok sinyali atlatması bakımından dikkat çekicidir. Ortada kötü amaçlı bir yürütülebilir dosya, şüpheli bir indirme veya bariz bir saldırı imzası yoktur. Saldırgan, geçerli bir kullanıcı olarak oturum açar.

Hangi Veriler Açığa Çıktı — ve Bulut Depolama Neden Yüksek Değerli Bir Hedef?

İlk erişimi elde ettikten sonra Storm-2949, Microsoft 365 ve Azure ekosisteminde net bir hedefle hareket etti: mümkün olduğunca çok sayıda yüksek değerli veriyi çıkarmak. Çoğu kurumsal ortamda belge depolama ve işbirliği için kullanılan OneDrive ve SharePoint, birincil hedeflerdi. Azure altyapısına bağlı SQL veritabanlarına da erişildi ve veriler dışarı sızdırıldı.

Modern kuruluşların bu hizmetlerde depoladığı verilerin ölçeği, onları sofistike tehdit aktörleri için bariz bir odak noktası haline getirir. İş sözleşmeleri, finansal kayıtlar, müşteri verileri, dahili iletişimler ve özel araştırmaların tümü sıklıkla SharePoint veya OneDrive'da bulunur. Azure'a bağlı SQL veritabanları ise genellikle paraya dönüştürülebilecek veya sonraki saldırılar için kullanılabilecek yapılandırılmış operasyonel veriler içerir.

Bu model, diğer büyük ölçekli kimlik bilgisi toplama olaylarında gözlemlenenleri yakından yansıtmaktadır. 40 milyon Charter Communications kaydının açığa çıkmasına neden olan ShinyHunters oltalama saldırısı da benzer bir mantık izlemişti: meşru görünen erişim elde et, ardından savunmacılar yanıt verene kadar mümkün olduğunca fazla veriyi çıkart. Bulut depolama, muazzam değeri tek bir yerde birleştirir ve onu hedef haline getiren de tam olarak budur.

Kimlik Bilgisi Tabanlı Saldırılar Geleneksel Savunmaları Neden Atlar?

Geleneksel güvenlik mimarisi, saldırganların içeri girdiği fikri etrafında inşa edilmiştir. Yazılım güvenlik açıklarından yararlanır, kötü amaçlı yazılım dağıtır veya ağ trafiğini yakalarlar. Çevre savunmaları, antivirüs araçları ve saldırı tespit sistemlerinin tümü bu davranışları yakalamak için tasarlanmıştır.

Kimlik bilgisi tabanlı saldırılar bu varsayımı tersine çevirir. Saldırgan içeri girmez; doğrudan girer. Storm-2949 bir meşru hesabın kontrolünü SSPR yoluyla ele geçirdiğinde, sonraki her eylem o kullanıcının normal çalışıyormuş gibi görünür. Dosya erişim günlükleri tanınan bir kimlik gösterir. Ağ trafiği beklenen hizmetlerden kaynaklanır. Anormal davranışı yakalamak için ayarlanan uyarı eşikleri asla tetiklenmeyebilir.

Bu, tarayıcı ve platform güvenlik açıklarını bu kadar tehlikeli hale getiren risk kategorisiyle aynıdır. Pwn2Own Berlin 2026'daki araştırmacılar, Windows 11 ve Edge sıfır gün açıklarının derin sistem erişimi elde etmek için zincirlenebileceğini göstererek, güvenilir ana platformların bile istismar edilebilir zayıflıklar barındırdığını ortaya koydu. Storm-2949'un kampanyası, bulut kimlik altyapısının da aynı risk kategorisini taşıdığını gösteriyor.

Saldırganlar istismardan ziyade kimlik yoluyla bir dayanak elde ettiğinde, kuşatma çok daha karmaşık hale gelir.

Pratik Önlemler: Çok Faktörlü Kimlik Doğrulama, Denetim Günlükleri ve Daha Akıllı Bulut Yapılandırması

Storm-2949 kampanyası, kuruluşların ve bireylerin maruziyeti azaltmak için atabileceği somut adımlara işaret etmektedir.

SSPR yapılandırmanızı denetleyin. Self servis parola sıfırlama etkinse, hangi doğrulama yöntemlerinin zorunlu olduğunu kontrol edin. Telefon tabanlı kurtarma seçenekleri ele geçirilebilir veya sosyal mühendisliğe uğrayabilir. Birden fazla faktör zorunlu kılmak veya SSPR'yi yalnızca yönetilen cihazlarla kısıtlamak, saldırganlar için işi önemli ölçüde zorlaştırır.

Tüm hesaplarda kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı uygulayın. Standart SMS tabanlı çok faktörlü kimlik doğrulama gerçek koruma sağlar, ancak SIM değiştirme ve belirli sosyal mühendislik taktiklerine karşı hala savunmasızdır. Donanım güvenlik anahtarları veya FIDO2 standartlarını kullanan uygulama tabanlı doğrulayıcılar, kötüye kullanılması önemli ölçüde daha zordur.

Koşullu erişim politikalarını gözden geçirin. Hem Microsoft 365 hem de Azure, oturum açmaları cihaz uyumluluğu, konum ve risk sinyallerine dayalı olarak kısıtlayabilen koşullu erişim kontrolleri sunar. Birçok kuruluş bu özelliklere sahiptir ancak bunları kullanmaz.

Anormal veri erişim modellerini izleyin. Saldırgan meşru kimlik bilgileri kullansa bile, kısa bir süre içinde yüzlerce SharePoint belgesine erişmek veya büyük hacimli OneDrive dosyaları indirmek uyarıları tetiklemelidir. Microsoft Defender for Cloud Apps veya eşdeğer izleme araçlarını toplu veri erişimini işaretleyecek şekilde yapılandırmak pratik bir tespit katmanıdır.

Bulut erişimi için ağ düzeyinde korumaları düşünün. Bulut hizmeti erişiminin yalnızca bilinen, izlenen ağ yolları üzerinden gerçekleşmesini sağlamak için bir VPN kullanmak, bilinmeyen konumlardan kimlik bilgisi kötüye kullanımı için saldırı yüzeyini sınırlamaya yardımcı olabilir.

Bu Sizin İçin Ne Anlama Geliyor?

İster büyük bir kurumsal ortamı yönetiyor olun, ister iş için kişisel olarak Microsoft 365 kullanın, Storm-2949 kampanyası bulut güvenliğinin varsayılan olarak açık bir özellik olmadığını göstermektedir. Microsoft 365 ve Azure gibi platformlar güçlü güvenlik araçları sunar, ancak bu araçlar etkili olabilmek için kasıtlı yapılandırma ve sürekli izleme gerektirir.

Kuruluşunuz hassas veriler için bulut depolamaya güveniyorsa, şimdi kimlik ve erişim kontrollerinizi denetlemenin tam zamanıdır. Özellikle kimlerin SSPR'nin etkin olduğunu, nasıl doğrulandığını, çok faktörlü kimlik doğrulamanın tutarlı bir şekilde zorunlu kılınıp kılınmadığını ve veri erişim izlemenin aktif olup olmadığını gözden geçirin.

Platformun güvenliği otomatik olarak ele aldığını varsaymak, bu kampanyanın istismar ettiği tam da bu tutumdur. Erişim kontrollerini gözden geçirmek için harcanan birkaç saat, OneDrive veya SharePoint verilerinizin günler veya haftalar boyunca sessizce sızdırıldığını keşfetmekten çok daha küçük bir maliyettir.