Storm‑2949: Vom Passwort‑Reset zur Cloud‑weiten Kompromittierung

Statt klassische Malware einzusetzen, konzentrierten sich die Angreifer auf die Übernahme von Benutzeridentitäten und den Missbrauch legitimer Cloud‑Funktionen. Sobald sie Zugriff auf ein Konto – häufig eines mit erweiterten Rechten – hatten, nutzten sie reguläre Verwaltungsfunktionen in Microsoft 365 und Azure, um ihre Zugriffsrechte im gesamten Cloud‑Umfeld auszubauen.

Weil diese Aktionen wie normale Administrationsaktivitäten aussahen, konnten sie viele traditionelle Sicherheitsmechanismen umgehen, die primär auf Malware oder Exploits ausgelegt sind.

Die Rolle des Self‑Service Password Reset (SSPR)

Ein zentraler Schritt der Angriffskette war der Missbrauch des Self‑Service Password Reset (SSPR) in Microsoft Entra. Diese Funktion erlaubt es Nutzern normalerweise, ihr Passwort selbst zurückzusetzen, ohne den IT‑Support einzuschalten.

Storm‑2949 nutzte dabei gezielt Social Engineering:

• Angreifer gaben sich als interne IT‑ oder Sicherheitsteams aus.
• Zielpersonen wurden telefonisch oder direkt kontaktiert.
• Sie sollten scheinbar routinemäßige Verifizierungs‑Anfragen bestätigen.

Tatsächlich handelte es sich bei diesen Anfragen um MFA‑Freigaben während eines Passwort‑Reset‑Prozesses, der von den Angreifern ausgelöst wurde.

Sobald das Opfer die Anfrage bestätigte, konnten die Angreifer:

• das Passwort des Kontos zurücksetzen,
• bestehende Authentifizierungsmethoden entfernen,
• ihre eigenen Geräte (z. B. eine eigene Authenticator‑App) registrieren.

Damit hatten sie dauerhaft MFA‑geschützten Zugriff, während der echte Nutzer faktisch ausgesperrt wurde.

Vom kompromittierten Konto zur Cloud‑weiten Ausbreitung

Nach der Kontoübernahme bewegten sich die Angreifer seitlich durch die Cloud‑Umgebung.

Da die kompromittierten Accounts häufig hohe Berechtigungen hatten – etwa von IT‑Administratoren oder Führungskräften – konnten sie zahlreiche Microsoft‑Dienste erreichen.

Zu den Zielsystemen gehörten unter anderem:

• Daten in Microsoft‑365‑Diensten wie SharePoint und OneDrive
• Azure‑gehostete Produktionssysteme
• Cloud‑Speicher und Datenbanken
• sensible Geheimnisse in Diensten wie Azure Key Vault

Der Angriff zeigt eine zentrale Realität moderner Cloud‑Infrastrukturen: Die Identität ist die eigentliche Steuerungsebene der Cloud. Wird eine privilegierte Identität kompromittiert, können Angreifer zahlreiche miteinander verbundene Dienste erreichen – ganz ohne Software‑Schwachstellen auszunutzen.

Warum Microsoft SMS‑Authentifizierung abschafft

Parallel zu solchen Vorfällen hat Microsoft angekündigt, SMS‑Codes für Anmeldung und Kontowiederherstellung bei persönlichen Microsoft‑Konten schrittweise abzuschaffen.

Der Grund: SMS‑basierte Authentifizierung gilt inzwischen als häufige Betrugsquelle und technisch anfällig.

Typische Schwachstellen sind zum Beispiel:

• SIM‑Swap‑Angriffe, bei denen Angreifer eine Telefonnummer auf eine eigene SIM‑Karte übertragen lassen
• Abfangen von SMS über Schwachstellen in Telekom‑Netzen
• Social‑Engineering‑Tricks, bei denen Nutzer ihre Einmalcodes preisgeben

Da SMS‑Codes abgefangen oder weitergegeben werden können, lassen sie sich relativ leicht per Phishing stehlen. Microsoft stuft sie deshalb als deutlich schwächer ein als moderne, gerätegebundene Authentifizierungsverfahren.

Stattdessen setzt das Unternehmen verstärkt auf:

• Passkeys (FIDO‑basierte Login‑Schlüssel)
• Authenticator‑Apps
• verifizierte sekundäre E‑Mail‑Adressen

Diese Methoden basieren auf kryptografischen Schlüsseln oder sichereren Authentifizierungsprozessen.

Sicherheitsmaßnahmen, die Microsoft Organisationen empfiehlt

Die Storm‑2949‑Kampagne zeigt, wie Angriffe auf Identitäten klassische Sicherheitsbarrieren umgehen können. Microsoft empfiehlt daher mehrere Schutzmaßnahmen.

Phishing‑resistente MFA einsetzen

Organisationen sollten Authentifizierungsmethoden verwenden, die sich nicht leicht durch Social Engineering oder Phishing missbrauchen lassen – etwa Passkeys oder hardwarebasierte Sicherheits‑Tokens.

Least‑Privilege‑Zugriff umsetzen

Mit rollenbasierter Zugriffskontrolle (RBAC) sollten Nutzer nur die Rechte erhalten, die sie tatsächlich benötigen. Dadurch wird der Schaden begrenzt, wenn ein Konto kompromittiert wird.

Passwort‑Reset‑Prozesse absichern

Wiederherstellungsmechanismen wie SSPR können selbst zum Angriffspfad werden. Besonders bei privilegierten Konten sollten diese Prozesse streng überwacht und abgesichert werden.

Identitäts‑ und Cloud‑Aktivitäten überwachen

Sicherheits‑Teams sollten umfassende Protokollierung und Monitoring einrichten, insbesondere für:

• Authentifizierungs‑ und Identitätsereignisse
• Passwort‑Reset‑Vorgänge
• Datenzugriffe in Microsoft 365
• Verwaltungs‑ und Management‑Operationen in Azure

Solche Telemetrie hilft, ungewöhnliche Administrator‑Aktivitäten frühzeitig zu erkennen.

Die zentrale Erkenntnis: Identität ist die neue Angriffsfläche

Storm‑2949 zeigt einen grundlegenden Wandel in der Cybersicherheit. Statt Schwachstellen in Software auszunutzen oder Malware einzusetzen, greifen Angreifer zunehmend Identitätssysteme und Wiederherstellungsprozesse an.

Ein einziges kompromittiertes Konto – insbesondere mit hohen Rechten – kann zum Einstiegspunkt in ein gesamtes Cloud‑Ökosystem werden. Deshalb gehören starke Authentifizierung, minimale Berechtigungen und kontinuierliches Monitoring heute zu den wichtigsten Verteidigungsstrategien für Cloud‑basierte Organisationen.