Storm-2949 Khai Thác Tính Năng Đặt Lại Mật Khẩu Microsoft 365 Để Rút Cạn Dữ Liệu Đám Mây

Storm-2949 Khai Thác Tính Năng Đặt Lại Mật Khẩu Microsoft 365 Để Rút Cạn Dữ Liệu Đám Mây

Microsoft đã công bố chi tiết về một chiến dịch tinh vi nhiều giai đoạn được thực hiện bởi một tác nhân đe dọa có mã định danh Storm-2949, nhắm vào các tổ chức sử dụng môi trường Microsoft 365 và Azure. Điều khiến cuộc tấn công nhắm vào thông tin xác thực đám mây Microsoft 365 này đặc biệt đáng chú ý chính là điểm xâm nhập: một tính năng mà hầu hết quản trị viên đều xem là thông thường và ít rủi ro, cụ thể là tính năng tự đặt lại mật khẩu (SSPR). Khi đã xâm nhập, kẻ tấn công âm thầm di chuyển qua OneDrive, SharePoint và các cơ sở dữ liệu SQL, trích xuất dữ liệu có giá trị cao trước khi bị phát hiện.

Chiến dịch này là một lời nhắc nhở rõ ràng rằng các nền tảng đám mây chỉ an toàn đến mức độ cấu hình và những giả định được xây dựng xung quanh chúng.

Cách Storm-2949 Vũ Khí Hóa Tính Năng Tự Đặt Lại Mật Khẩu

Tự đặt lại mật khẩu là một tính năng tiện lợi được triển khai rộng rãi. Nó cho phép nhân viên lấy lại quyền truy cập tài khoản mà không cần liên hệ với bộ phận CNTT, giảm tải cho bộ phận hỗ trợ và thời gian gián đoạn. Hầu hết các đội ngũ bảo mật coi đây là tính năng lành tính. Storm-2949 lại coi đó như một cánh cửa mở.

Bằng cách lạm dụng chức năng SSPR, tác nhân đe dọa đã có thể chiếm đoạt danh tính người dùng mà không cần bẻ khóa mật khẩu bằng brute force hay triển khai phần mềm độc hại. Cuộc tấn công đã lợi dụng những điểm yếu trong cách SSPR được cấu hình hoặc xác minh, cho phép nhóm này giành quyền kiểm soát các tài khoản hợp pháp. Khi mật khẩu đã được đặt lại và quyền truy cập đã được thiết lập, kẻ tấn công hòa lẫn vào hoạt động bình thường của người dùng, khiến việc phát hiện dựa trên hành vi trở nên khó khăn hơn đáng kể.

Cách tiếp cận này đáng chú ý vì nó né tránh nhiều tín hiệu mà các công cụ bảo mật điểm cuối được thiết kế để phát hiện. Không có tập tin thực thi độc hại, không có lượt tải xuống đáng ngờ, không có dấu hiệu xâm nhập rõ ràng. Kẻ tấn công chỉ đơn giản đăng nhập như một người dùng hợp lệ.

Dữ Liệu Nào Bị Lộ – và Tại Sao Lưu Trữ Đám Mây Lại Là Mục Tiêu Giá Trị Cao

Sau khi có được quyền truy cập ban đầu, Storm-2949 di chuyển qua hệ sinh thái Microsoft 365 và Azure với một mục tiêu rõ ràng: trích xuất càng nhiều dữ liệu có giá trị cao càng tốt. OneDrive và SharePoint, vốn được sử dụng trong hầu hết các môi trường doanh nghiệp để lưu trữ và cộng tác tài liệu, là những mục tiêu chính. Các cơ sở dữ liệu SQL kết nối với hạ tầng Azure cũng bị truy cập và đánh cắp dữ liệu.

Quy mô những gì các tổ chức hiện đại lưu trữ trong các dịch vụ này khiến chúng trở thành trọng tâm rõ ràng của các tác nhân đe dọa tinh vi. Hợp đồng kinh doanh, hồ sơ tài chính, dữ liệu khách hàng, thông tin liên lạc nội bộ và nghiên cứu độc quyền đều thường xuyên nằm trong SharePoint hoặc OneDrive. Các cơ sở dữ liệu SQL kết nối với Azure thường chứa dữ liệu vận hành có cấu trúc, có thể bị kiếm tiền hoặc sử dụng cho các cuộc tấn công tiếp theo.

Mô hình này phản ánh rất giống những gì đã được quan sát thấy trong các sự cố thu thập thông tin xác thực quy mô lớn khác. Cuộc tấn công vishing của ShinyHunters làm lộ 40 triệu hồ sơ của Charter Communications cũng tuân theo một logic tương tự: đạt được quyền truy cập có vẻ hợp pháp, sau đó trích xuất càng nhiều dữ liệu càng tốt trước khi người phòng thủ kịp phản ứng. Lưu trữ đám mây tập trung giá trị khổng lồ vào một nơi, chính điều đó khiến nó trở thành mục tiêu.

Tại Sao Các Cuộc Tấn Công Dựa Trên Thông Tin Xác Thực Lại Vượt Qua Các Hệ Thống Phòng Thủ Truyền Thống

Kiến trúc bảo mật truyền thống được xây dựng dựa trên ý tưởng rằng kẻ tấn công đột nhập vào. Chúng khai thác lỗ hổng phần mềm, triển khai phần mềm độc hại, hoặc chặn bắt lưu lượng mạng. Tường lửa biên, công cụ chống virus, và hệ thống phát hiện xâm nhập đều được thiết kế để phát hiện những hành vi đó.

Các cuộc tấn công dựa trên thông tin xác thực đảo ngược giả định đó. Kẻ tấn công không đột nhập; chúng bước vào một cách hợp pháp. Khi Storm-2949 sử dụng SSPR để chiếm quyền kiểm soát một tài khoản hợp lệ, mọi hành động tiếp theo trông giống như người dùng đó đang làm việc bình thường. Nhật ký truy cập tập tin hiển thị một danh tính được công nhận. Lưu lượng mạng xuất phát từ các dịch vụ dự kiến. Các ngưỡng cảnh báo được điều chỉnh để phát hiện hành vi bất thường có thể không bao giờ kích hoạt.

Đây chính là cùng một loại rủi ro khiến các lỗ hổng trình duyệt và nền tảng trở nên nguy hiểm. Các nhà nghiên cứu tại Pwn2Own Berlin 2026 đã chứng minh cách các lỗ hổng zero-day trên Windows 11 và Edge có thể được liên kết với nhau để đạt được quyền truy cập sâu vào hệ thống, minh họa rằng ngay cả những nền tảng chính thống, đáng tin cậy cũng chứa đựng những điểm yếu có thể bị khai thác. Chiến dịch của Storm-2949 cho thấy hạ tầng định danh đám mây cũng chứa đựng cùng một loại rủi ro.

Một khi kẻ tấn công thiết lập được chỗ đứng thông qua định danh thay vì khai thác lỗ hổng, việc ngăn chặn trở nên phức tạp hơn đáng kể.

Các Biện Pháp Giảm Thiểu Thiết Thực: MFA, Nhật Ký Kiểm Tra, và Cấu Hình Đám Mây Thông Minh Hơn

Chiến dịch Storm-2949 chỉ ra các bước cụ thể mà các tổ chức và cá nhân có thể thực hiện để giảm thiểu rủi ro.

Kiểm tra cấu hình SSPR của bạn. Nếu tính năng tự đặt lại mật khẩu đang được bật, hãy xác minh những phương thức xác thực nào được yêu cầu. Các tùy chọn khôi phục dựa trên điện thoại có thể bị chặn bắt hoặc thao túng qua kỹ thuật xã hội. Yêu cầu nhiều yếu tố, hoặc hạn chế SSPR chỉ cho các thiết bị được quản lý, sẽ nâng cao đáng kể rào cản đối với kẻ tấn công.

Thực thi xác thực đa yếu tố (MFA) chống lừa đảo trên tất cả các tài khoản. Xác thực đa yếu tố dựa trên SMS tiêu chuẩn mang lại sự bảo vệ thực sự nhưng vẫn dễ bị tổn thương trước việc hoán đổi SIM và một số chiến thuật kỹ thuật xã hội nhất định. Khóa bảo mật phần cứng hoặc ứng dụng xác thực sử dụng tiêu chuẩn FIDO2 khó bị lạm dụng hơn đáng kể.

Xem xét các chính sách truy cập có điều kiện. Cả Microsoft 365 và Azure đều cung cấp các biện pháp kiểm soát truy cập có điều kiện, có thể hạn chế việc đăng nhập dựa trên tuân thủ thiết bị, vị trí và các tín hiệu rủi ro. Nhiều tổ chức có sẵn các tính năng này nhưng không sử dụng chúng.

Giám sát các mẫu truy cập dữ liệu bất thường. Ngay cả khi kẻ tấn công sử dụng thông tin xác thực hợp pháp, việc truy cập hàng trăm tài liệu SharePoint hoặc tải xuống khối lượng lớn tập tin OneDrive trong một khoảng thời gian ngắn nên kích hoạt cảnh báo. Cấu hình Microsoft Defender for Cloud Apps hoặc các công cụ giám sát tương đương để gắn cờ việc truy cập dữ liệu hàng loạt là một lớp phát hiện thiết thực.

Cân nhắc các biện pháp bảo vệ ở cấp độ mạng cho truy cập đám mây. Sử dụng VPN để đảm bảo rằng việc truy cập dịch vụ đám mây chỉ diễn ra qua các đường dẫn mạng đã biết, được giám sát có thể giúp hạn chế bề mặt tấn công cho việc lạm dụng thông tin xác thực từ các vị trí không quen thuộc.

Điều Này Có Ý Nghĩa Gì Với Bạn

Dù bạn quản lý một môi trường doanh nghiệp lớn hay sử dụng Microsoft 365 cho công việc cá nhân, chiến dịch Storm-2949 minh họa rằng bảo mật đám mây không phải là tính năng được bật mặc định. Các nền tảng như Microsoft 365 và Azure cung cấp các công cụ bảo mật mạnh mẽ, nhưng những công cụ đó đòi hỏi cấu hình có chủ đích và giám sát liên tục để phát huy hiệu quả.

Nếu tổ chức của bạn dựa vào lưu trữ đám mây cho dữ liệu nhạy cảm, bây giờ là lúc để kiểm tra các biện pháp kiểm soát định danh và truy cập của bạn. Cụ thể, hãy xem xét những ai đã bật SSPR, cách nó được xác minh, liệu MFA có được thực thi nhất quán hay không, và việc giám sát truy cập dữ liệu có đang hoạt động hay không.

Giả định rằng nền tảng tự động xử lý bảo mật chính xác là tư thế mà chiến dịch này đã khai thác. Một vài giờ bỏ ra để xem xét các biện pháp kiểm soát truy cập là chi phí nhỏ hơn nhiều so với việc phát hiện ra dữ liệu OneDrive hoặc SharePoint của bạn đã bị âm thầm đánh cắp trong nhiều ngày hoặc nhiều tuần.