الإجاباتمنشور12 المصادر
هجوم Storm‑2949: عندما تقود هوية مخترَقة واحدة إلى اختراق سحابي واسع
هجوم Storm‑2949 بدأ باختراق حساب واحد ثم توسع داخل بيئة Microsoft 365 وAzure عبر استكشاف الدليل باستخدام Microsoft Graph API ورفع الصلاحيات عبر Azure RBAC.[1][4] المهاجمون استغلوا ميزة Self‑Service Password Reset للحفاظ على الوصول واستخدموا أدوات إدارية شرعية مثل VMAccess وRun Command وPowerShell لتجنب اكتشافهم.[4]...
1.5M0
موجّه الذكاء الاصطناعي
openai.comCreate a landscape editorial hero image for this Studio Global article: What did Microsoft reveal about how Storm-2949 used a compromised identity and the Self-Service Password Reset process to breach Microsoft 3. Article summary: Microsoft described Storm-2949 as an identity-based cloud intrusion that did not rely on malware; the actor used a compromised account, abused Self-Service Password Reset, then expanded access across Microsoft 365 and Az. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Hackers Exploit Entra ID Accounts to Steal Microsoft 365, Azure Data. Hackers Abuse Microsoft Entra ID Accounts to Exfiltrate Microsoft 365 and Azure Data. A highly sophisticated c" source context "Hackers Exploit Entra ID Accounts to Steal Microsoft 365, Azure Data" Reference image 2: visual subject "Microsoft S
كشفت مايكروسوفت عن تفاصيل هجوم إلكتروني متقدم يُعرف باسم Storm‑2949، حيث تمكن المهاجم من تحويل اختراق حساب واحد فقط إلى وصول واسع داخل بيئة سحابية تضم خدمات Microsoft 365 وMicrosoft Azure. اللافت في هذا الهجوم أنه لم يعتمد على برمجيات خبيثة تقليدية، بل استغل أنظمة الهوية وإدارة الصلاحيات داخل السحابة نفسها.
هذا النوع من الهجمات يعكس تحولاً مهماً في عالم الأمن السيبراني: بدلاً من اختراق الأنظمة عبر ثغرات أو نشر برمجيات ضارة، أصبح المهاجمون يستغلون الهوية الرقمية وأدوات الإدارة الشرعية للتحرك داخل البنية السحابية دون إثارة الشبهات.
البداية: اختراق حساب واحد فقط
بحسب تقارير استخبارات التهديدات لدى مايكروسوفت، بدأت العملية بالاستيلاء على هوية مستخدم داخل المؤسسة. بعد الدخول إلى الحساب المخترق، بدأ المهاجم مباشرة في استكشاف بنية الهوية الخاصة بالمؤسسة داخل خدمة Microsoft Entra ID.
لتحقيق ذلك، استخدم المهاجم واجهة Microsoft Graph API، وهي واجهة برمجية تسمح بالوصول إلى معلومات المستخدمين والمجموعات والتطبيقات والأدوار داخل بيئة Microsoft 365 وAzure.
وأشارت مايكروسوفت إلى أن المهاجم استخدم سكريبت مخصص بلغة Python لأتمتة الاستعلامات عبر Graph API. سمحت هذه الاستعلامات بجمع معلومات عن المستخدمين والتطبيقات داخل المؤسسة والبحث عن حسابات تحمل مؤشرات على امتلاكها صلاحيات مرتفعة.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
يسأل الناس أيضا
ما هي الإجابة المختصرة على "هجوم Storm‑2949: عندما تقود هوية مخترَقة واحدة إلى اختراق سحابي واسع"؟
هجوم Storm‑2949 بدأ باختراق حساب واحد ثم توسع داخل بيئة Microsoft 365 وAzure عبر استكشاف الدليل باستخدام Microsoft Graph API ورفع الصلاحيات عبر Azure RBAC.[1][4]
ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟
هجوم Storm‑2949 بدأ باختراق حساب واحد ثم توسع داخل بيئة Microsoft 365 وAzure عبر استكشاف الدليل باستخدام Microsoft Graph API ورفع الصلاحيات عبر Azure RBAC.[1][4] المهاجمون استغلوا ميزة Self‑Service Password Reset للحفاظ على الوصول واستخدموا أدوات إدارية شرعية مثل VMAccess وRun Command وPowerShell لتجنب اكتشافهم.[4]
ماذا يجب أن أفعل بعد ذلك في الممارسة العملية؟
مايكروسوفت توصي بتقوية حماية الهوية وتفعيل MFA ومراقبة استخدام Microsoft Graph وتدقيق صلاحيات Azure RBAC لمنع هجمات مشابهة.[4]
المصادر
- thecyberexpress.comMicrosoft Exposes Storm-2949 Azure And M365 Breach
- microsoft.comHow Storm-2949 turned a compromised identity into a cloud-wide ...
- zeonedge.comMicrosoft Azure Account Compromised: Complete Incident ...
- cloudsecurityalliance.orgEnhancing Cybersecurity with CASUAL in Microsoft 365 | CSA
- obsidiansecurity.comSelf-Service Password Reset (SSPR) Abuse in Azure AD
Loading comments...
Comments
0 comments