Storm‑2949: Ein einziges kompromittiertes Konto öffnete Angreifern die gesamte Cloud
Der Angriff Storm‑2949 begann mit der Übernahme eines einzigen Benutzerkontos und weitete sich über Microsoft Graph‑Abfragen auf die gesamte Entra‑ID‑Umgebung aus.[1][4] Angreifer missbrauchten Self‑Service Password Reset, identifizierten privilegierte Konten und nutzten Azure RBAC sowie legitime Admin‑Tools wie Pow...
What did Microsoft reveal about how Storm-2949 used a compromised identity and the Self-Service Password Reset process to breach Microsoft 3Storm‑2949 used identity compromise and legitimate cloud management tools to move through Microsoft 365 and Azure environments.
KI-Prompt
Create a landscape editorial hero image for this Studio Global article: What did Microsoft reveal about how Storm-2949 used a compromised identity and the Self-Service Password Reset process to breach Microsoft 3. Article summary: Microsoft described Storm-2949 as an identity-based cloud intrusion that did not rely on malware; the actor used a compromised account, abused Self-Service Password Reset, then expanded access across Microsoft 365 and Az. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Hackers Exploit Entra ID Accounts to Steal Microsoft 365, Azure Data. Hackers Abuse Microsoft Entra ID Accounts to Exfiltrate Microsoft 365 and Azure Data. A highly sophisticated c" source context "Hackers Exploit Entra ID Accounts to Steal Microsoft 365, Azure Data" Reference image 2: visual subject "Microsoft S
openai.com
Der von Microsoft analysierte Angriff Storm‑2949 zeigt einen grundlegenden Wandel moderner Cyberangriffe: Statt Schadsoftware einzuschleusen, nutzten Angreifer eine kompromittierte Identität und legitime Cloud‑Funktionen, um sich Schritt für Schritt durch Microsoft‑365‑ und Azure‑Umgebungen zu bewegen.
Das Ergebnis: Mit nur einem übernommenen Konto konnten sie sensible Ressourcen erreichen und über mehrere Tage Daten exfiltrieren – ohne klassische Malware einzusetzen.
Der Einstieg: Ein kompromittiertes Konto
Der Angriff begann mit der Übernahme eines einzelnen Benutzerkontos. Nachdem sich der Angreifer Zugang verschafft hatte, startete er unmittelbar mit der Erkundung des Microsoft‑Entra‑ID‑Tenants (früher Azure AD), also des zentralen Identitätsverzeichnisses für Microsoft‑Cloud‑Dienste.
Dabei nutzte der Akteur die Microsoft Graph API, über die Anwendungen und Administratoren auf Benutzer, Gruppen, Rollen und Anwendungen zugreifen können.
Microsoft beobachtete dabei automatisierte Abfragen:
Ein benutzerdefiniertes Python‑Skript sendete zahlreiche Graph‑API‑Requests
Diese listeten Benutzerkonten, Anwendungen und Rollen im Tenant auf
Der Angreifer suchte gezielt nach Konten mit erhöhten Berechtigungen anhand von Namensmustern und Rollenattributen
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Wie lautet die kurze Antwort auf „Storm‑2949: Ein einziges kompromittiertes Konto öffnete Angreifern die gesamte Cloud“?
Der Angriff Storm‑2949 begann mit der Übernahme eines einzigen Benutzerkontos und weitete sich über Microsoft Graph‑Abfragen auf die gesamte Entra‑ID‑Umgebung aus.[1][4]
Was sind die wichtigsten Punkte, die zuerst validiert werden müssen?
Der Angriff Storm‑2949 begann mit der Übernahme eines einzigen Benutzerkontos und weitete sich über Microsoft Graph‑Abfragen auf die gesamte Entra‑ID‑Umgebung aus.[1][4] Angreifer missbrauchten Self‑Service Password Reset, identifizierten privilegierte Konten und nutzten Azure RBAC sowie legitime Admin‑Tools wie PowerShell, VMAccess und Run Command, um sich weiter auszubreiten.[4]
Was soll ich als nächstes in der Praxis tun?
Microsoft empfiehlt stärkere Identitätssicherung – etwa MFA, streng kontrolliertes SSPR, RBAC‑Audits und Monitoring ungewöhnlicher Graph‑API‑Aktivitäten – um ähnliche Cloud‑Angriffe zu verhindern.[4]
So konnte der Angreifer die Identitätsstruktur der Organisation kartieren und potenzielle Wege zur Rechteausweitung finden.
Missbrauch von Self‑Service Password Reset
Ein zentraler Bestandteil des Angriffs war der Missbrauch von Self‑Service Password Reset (SSPR) – einer Funktion, mit der Nutzer ihre Passwörter selbst zurücksetzen können.
Nachdem das erste Konto kompromittiert war, nutzte der Angreifer diese Wiederherstellungsmechanismen, um den Zugriff zu stabilisieren und auszubauen.
Das Problem: SSPR ist eine legitime Funktion und Teil normaler Benutzeraktivität. Wenn ein Angreifer bereits gültige Zugangsdaten oder Wiederherstellungsoptionen kontrolliert, kann dieser Prozess in Protokollen wie reguläre Account‑Recovery aussehen.
Rechteausweitung über Microsoft Graph und Azure RBAC
Die eigentliche Eskalation erfolgte nicht über Software‑Exploits, sondern über Cloud‑Kontrollmechanismen.
Zwei Komponenten spielten dabei eine zentrale Rolle:
Microsoft Graph API – zur Interaktion mit Identitäten und Verzeichnisobjekten
Azure Role‑Based Access Control (RBAC) – das Berechtigungssystem für Azure‑Ressourcen
Durch das Auffinden privilegierter Rollen und Konten konnte der Angreifer seine Berechtigungen erweitern und Zugriff auf immer mehr Cloud‑Dienste erhalten.
Zugriff auf kritische Azure‑Ressourcen
Nachdem höhere Rechte erlangt wurden, griff der Angreifer auf verschiedene Azure‑Ressourcen zu, darunter:
App Services
Key Vaults
SQL‑Datenbanken
Virtuelle Maschinen
Diese Dienste enthalten häufig Anwendungsschlüssel, Zugangsdaten, Betriebsdaten oder produktive Workloads – daher gehören sie zu den wertvollsten Zielen in Cloud‑Umgebungen.
Der Vorfall zeigt, wie schnell ein einzelnes kompromittiertes Konto zu Zugriff auf Produktionsinfrastruktur führen kann, wenn Rollen und Berechtigungen zu weit gefasst sind.
Tarnung durch legitime Admin‑Tools
Ein weiterer Grund, warum der Angriff schwer zu erkennen war: Der Angreifer verwendete ausschließlich legitime Verwaltungswerkzeuge der Azure‑Plattform.
Beobachtet wurden unter anderem:
VMAccess
Run Command
PowerShell
Diese Tools werden auch von Administratoren im Alltag genutzt. Aktivitäten erscheinen daher in Logs oft wie normale Wartungs‑ oder Betriebsarbeiten.
Diese Strategie – oft als „Living off the Land“ bezeichnet – hilft Angreifern, unauffällig lateral durch eine Umgebung zu navigieren.
Mehrtägige Datenexfiltration
Am Ende des Angriffs exfiltrierte der Akteur über mehrere Tage hinweg sensible Daten aus der kompromittierten Cloud‑Umgebung.
Die Dauer der Aktivität deutet darauf hin, dass der Zugriff stabil genug war, um Daten systematisch zu sammeln und abzuziehen, ohne sofort Sicherheitsalarme auszulösen.
Warum solche Cloud‑Angriffe schwer zu erkennen sind
Storm‑2949 steht exemplarisch für eine wachsende Klasse von Angriffen, bei denen Identitäten statt Systeme angegriffen werden.
Typische Merkmale solcher Operationen sind:
Nutzung gültiger Zugangsdaten
API‑basierte Erkundung der Cloud‑Umgebung
Rechteausweitung über legitime Berechtigungssysteme
Verwendung offizieller Administrationswerkzeuge
Weil sich diese Aktivitäten innerhalb vertrauenswürdiger Dienste abspielen, erkennen klassische Endpoint‑Security‑Tools oft kaum verdächtige Signale.
Microsofts Empfehlungen zur Abwehr
Microsoft empfiehlt Organisationen, vor allem ihre Identitäts‑ und Zugriffsmechanismen zu härten.
Wichtige Maßnahmen sind:
Identitätsschutz stärken
Ein einzelnes kompromittiertes Konto sollte nicht ausreichen, um einen gesamten Tenant zu gefährden.
Self‑Service Password Reset absichern
SSPR‑Konfigurationen – besonders für privilegierte Konten – sollten sorgfältig überprüft werden.
MFA und Conditional Access erzwingen
Mehrfaktor‑Authentifizierung und kontextbasierte Zugriffskontrollen reduzieren den Nutzen gestohlener Zugangsdaten.
Microsoft‑Graph‑Aktivitäten überwachen
Ungewöhnliche oder automatisierte Verzeichnisabfragen können ein Hinweis auf interne Aufklärung sein.
Azure‑RBAC‑Berechtigungen prüfen
Rollen sollten nach dem Prinzip der minimalen Rechte vergeben werden.
Admin‑Tools überwachen
Verdächtige Nutzung von VMAccess, Run Command oder PowerShell sollte Alarm auslösen.
Zugriff auf kritische Ressourcen kontrollieren
Dienste wie Key Vaults, Datenbanken oder Produktions‑VMs benötigen besonders strenge Zugriffsrichtlinien.
Die zentrale Lehre aus Storm‑2949
Der Vorfall macht deutlich: Identitäten sind heute eine der wichtigsten Angriffsflächen in Cloud‑Umgebungen.
Wenn Angreifer ein Konto kontrollieren, können sie APIs, Rollen und Administrationsfunktionen nutzen, um sich durch eine Infrastruktur zu bewegen – oft völlig ohne Malware.
Für Sicherheitsverantwortliche bedeutet das, dass effektive Cloud‑Sicherheit nicht nur auf Endgeräte oder Schadsoftware schauen darf, sondern vor allem auf Identitätsverhalten, API‑Nutzung, Berechtigungen und Aktivitäten in der Cloud‑Kontrollebene.
toriihq.com
3 Ways to Change User Passwords in Microsoft 365 in 2026 | Torii
Comments
0 comments