Storm-2949 利用 Microsoft 365 密码重置窃取云数据

Storm-2949 利用 Microsoft 365 密码重置窃取云数据

微软发布了关于一个复杂多阶段攻击活动的详细信息，该活动由一个被追踪为 Storm-2949 的威胁行为者发起，目标为运行 Microsoft 365 和 Azure 环境的组织。让这次针对 Microsoft 365 的云凭据攻击特别引人注目的是其切入点：一个大多数管理员视为常规且低风险的功能，具体而言就是自助密码重置（SSPR）。一旦进入，攻击者便悄无声息地在 OneDrive、SharePoint 和 SQL 数据库中穿梭，在被发现之前提取高价值数据。

这次行动清楚地提醒我们，云平台的安全性仅取决于围绕它们构建的配置和假设。

Storm-2949 如何将自助密码重置武器化

自助密码重置是一项广泛部署的便利功能。它允许员工无需联系 IT 部门即可恢复账户访问权限，减轻了服务台的负担和停机时间。大多数安全团队将其视为无害功能。Storm-2949 却将其当作一扇门。

通过滥用 SSPR 功能，该威胁行为者能够在不通过暴力破解密码或部署恶意软件的情况下攻陷用户身份。攻击利用了 SSPR 配置或验证方式的弱点，使该组织得以控制合法账户。一旦凭据被重置、访问权限建立，攻击者便融入正常的用户活动，使得基于行为的检测变得更加困难。

这种方法值得注意，因为它绕过了端点安全工具旨在捕获的许多信号。没有恶意可执行文件，没有可疑下载，也没有明显的入侵痕迹。攻击者只需以有效用户的身份登录即可。

哪些数据被泄露——以及为何云存储是高价值目标

在获得初始访问权限后，Storm-2949 便在 Microsoft 365 和 Azure 生态系统中横向移动，目标明确：尽可能提取更多高价值数据。大多数企业环境中用于文档存储和协作的 OneDrive 和 SharePoint 是主要目标。与 Azure 基础设施相连的 SQL 数据库也遭到访问和数据外泄。

现代组织在这些服务中存储的数据规模使它们成为老练威胁行为者的明显焦点。业务合同、财务记录、客户数据、内部通信以及专有研究经常存放在 SharePoint 或 OneDrive 中。连接到 Azure 的 SQL 数据库通常包含可被货币化或用于后续攻击的结构化运营数据。

这种模式与其他大规模凭据收集事件中观察到的非常相似。ShinyHunters 语音钓鱼攻击导致 4000 万条 Charter Communications 记录泄露 就遵循了类似的逻辑：获取看起来合法的访问权限，然后在防御者做出回应之前尽可能多地提取数据。云存储将巨大的价值集中在一处，正是这一点使其成为目标。

为何基于凭据的攻击能绕过传统防御

传统安全架构建立在攻击者需要“闯入”这一理念之上。他们利用软件漏洞、部署恶意软件或拦截网络流量。边界防御、防病毒工具和入侵检测系统都旨在捕获这些行为。

基于凭据的攻击则颠倒了这一假设。攻击者无需闯入；他们直接走入。当 Storm-2949 使用 SSPR 控制合法账户时，后续的每一个操作看起来都像该用户在正常工作。文件访问日志显示的是已识别的身份。网络流量来自预期的服务。针对异常行为调整的告警阈值可能永远不会触发。

这与让浏览器和平台漏洞如此危险的风险类别相同。在 Pwn2Own Berlin 2026 大赛上，研究人员演示了如何将 Windows 11 与 Edge 零日漏洞 串联起来以获取深层系统访问权限，这表明即便是可信的主流平台也携带着可利用的弱点。Storm-2949 的行动表明，云身份基础设施也存在同类风险。

一旦攻击者通过身份而非漏洞建立了立足点，遏制工作就会变得复杂得多。

实用缓解措施：MFA、审计日志和更智能的云配置

Storm-2949 的行动为组织和个人指明了减少暴露的具体步骤。

审计您的 SSPR 配置。 如果启用了自助密码重置，请核实需要哪些验证方式。基于手机的恢复选项可能被拦截或通过社会工程学利用。要求多重因素，或者将 SSPR 限制在仅受管理设备上，会显著提高攻击者的门槛。

在所有账户上强制执行防钓鱼的 MFA。 标准的基于短信的多因素认证提供了切实的保护，但仍然容易受到 SIM 卡交换和某些社会工程战术的攻击。使用 FIDO2 标准的硬件安全密钥或基于应用程序的认证器则更难被滥用。

检查条件访问策略。 Microsoft 365 和 Azure 都提供条件访问控制，可根据设备合规性、位置和风险信号限制登录。许多组织拥有这些功能但并未使用。

监控异常的数据访问模式。 即使攻击者使用合法凭据，在短时间内访问数百个 SharePoint 文档或下载大量 OneDrive 文件也应当触发警报。配置 Microsoft Defender for Cloud Apps 或同等监控工具以标记批量数据访问，是一种实用的检测层。

考虑针对云访问的网络级保护。 使用 VPN 强制云服务访问仅通过已知、受监控的网络路径进行，这有助于限制来自不熟悉位置的凭据滥用攻击面。

这对您意味着什么

无论您管理大型企业环境，还是个人在工作中使用 Microsoft 365，Storm-2949 的行动都表明云安全并非默认开启的功能。像 Microsoft 365 和 Azure 这样的平台提供了强大的安全工具，但这些工具需要经过慎重的配置和持续监控才能发挥作用。

如果您的组织依赖云存储存放敏感数据，现在就是审计身份和访问控制的好时机。具体来说，审查谁启用了 SSPR，如何进行验证，MFA 是否得到一致执行，以及数据访问监控是否处于活动状态。

默认假设平台会自动处理安全，正是这次行动所利用的姿态。花几个小时审查访问控制的成本，远低于发现 OneDrive 或 SharePoint 中的数据在数天或数周内被悄悄外泄时的代价。