Storm‑2949: Bagaimana Reset Password Berujung Kebocoran Cloud Microsoft 365 dan Azure

Yang menarik, penyerang hampir tidak menggunakan malware. Mereka lebih banyak mengambil alih identitas pengguna dan memanfaatkan fitur cloud yang sah.

Setelah mendapatkan akses ke satu akun—sering kali akun dengan hak istimewa—penyerang menggunakan alur administratif normal di Microsoft 365 dan Azure untuk memperluas akses ke berbagai layanan dalam organisasi.

Karena aktivitasnya terlihat seperti aktivitas administrator biasa, teknik ini sering kali sulit dideteksi oleh sistem keamanan tradisional yang dirancang untuk mencari malware.

Peran Self‑Service Password Reset (SSPR)

Langkah penting dalam rantai serangan adalah penyalahgunaan fitur Self‑Service Password Reset (SSPR) di Microsoft Entra. Fitur ini sebenarnya dibuat agar pengguna dapat mereset kata sandi sendiri tanpa bantuan tim IT.

Storm‑2949 memanfaatkan proses ini melalui rekayasa sosial:

• Penyerang menyamar sebagai staf IT atau tim keamanan internal.
• Mereka menghubungi karyawan target, biasanya melalui telepon atau pesan.
• Korban diminta menyetujui notifikasi verifikasi yang tampak seperti prosedur keamanan rutin.

Padahal notifikasi tersebut sebenarnya adalah permintaan persetujuan MFA yang dipicu selama proses reset password oleh penyerang.

Begitu korban menyetujui permintaan itu, penyerang dapat melanjutkan proses reset kata sandi.

Setelah akun diambil alih, penyerang biasanya melakukan beberapa langkah berikut:

• Mengganti kata sandi akun korban
• Menghapus metode autentikasi yang dimiliki pengguna asli
• Mendaftarkan perangkat autentikasi milik mereka sendiri, misalnya aplikasi Microsoft Authenticator

Akibatnya, pengguna asli terkunci dari akunnya, sementara penyerang memperoleh akses permanen yang dilindungi MFA.

Dari satu akun ke pelanggaran cloud skala besar

Setelah mengendalikan identitas pengguna, Storm‑2949 mulai bergerak ke berbagai layanan cloud organisasi.

Serangan ini sering menargetkan akun dengan hak akses tinggi seperti staf IT atau eksekutif. Dengan akun seperti itu, penyerang bisa menjangkau banyak sistem sekaligus.

Beberapa target yang dilaporkan termasuk:

• Data Microsoft 365 seperti file di SharePoint dan OneDrive
• Lingkungan produksi yang berjalan di Azure
• Akun penyimpanan cloud dan database
• Rahasia sensitif yang tersimpan di layanan seperti Azure Key Vault

Kasus ini menegaskan realitas keamanan cloud modern: identitas adalah pusat kendali (control plane). Jika identitas dengan hak istimewa berhasil diretas, penyerang dapat mengakses banyak layanan tanpa perlu mengeksploitasi celah perangkat lunak.

Mengapa Microsoft menghentikan autentikasi SMS

Di tengah meningkatnya serangan berbasis identitas, Microsoft juga mengumumkan bahwa mereka akan secara bertahap menghentikan penggunaan kode SMS untuk login dan pemulihan akun Microsoft pribadi.

Alasannya sederhana: SMS semakin sering digunakan dalam berbagai skema penipuan dan dianggap kurang aman dibanding metode modern.

Beberapa kelemahan utama SMS antara lain:

• SIM‑swap attack yang memindahkan nomor korban ke kartu SIM milik penyerang
• Penyadapan pesan dalam jaringan telekomunikasi
• Rekayasa sosial yang membuat pengguna membocorkan kode verifikasi

Karena kode SMS dapat dipancing dan dipindahkan, penyerang bisa mendapatkannya tanpa perlu mengakses perangkat korban secara fisik. Oleh karena itu Microsoft mendorong metode yang lebih kuat seperti passkeys, aplikasi autentikator, dan email verifikasi cadangan.

Langkah keamanan yang direkomendasikan Microsoft

Kasus Storm‑2949 menunjukkan bagaimana serangan identitas bisa melewati pertahanan tradisional. Microsoft merekomendasikan beberapa langkah utama untuk mengurangi risiko.

1. Gunakan MFA yang tahan phishing

Organisasi sebaiknya memprioritaskan metode autentikasi yang tidak mudah dipancing melalui rekayasa sosial, seperti passkeys atau perangkat autentikasi berbasis hardware.

2. Terapkan prinsip least privilege

Kontrol akses berbasis peran (RBAC) harus memastikan setiap pengguna hanya memiliki izin yang benar‑benar diperlukan untuk pekerjaannya. Jika satu akun diretas, dampaknya dapat dibatasi.

3. Anggap proses reset password sebagai jalur berisiko tinggi

Proses pemulihan akun seperti SSPR dapat menjadi pintu masuk bagi penyerang. Karena itu aktivitas reset password—terutama untuk akun dengan hak tinggi—harus dipantau dengan ketat.

4. Pantau aktivitas identitas dan kontrol cloud

Tim keamanan perlu memiliki visibilitas terhadap aktivitas penting seperti:

• Peristiwa autentikasi dan login
• Aktivitas reset password
• Akses data Microsoft 365
• Operasi manajemen Azure

Pemantauan ini membantu mendeteksi aktivitas administratif mencurigakan sejak dini.

Pelajaran besar dari kasus Storm‑2949

Storm‑2949 menunjukkan perubahan besar dalam dunia keamanan siber. Serangan modern tidak selalu membutuhkan malware atau eksploit perangkat lunak.

Sebaliknya, penyerang kini sering menargetkan sistem identitas, autentikasi, dan proses pemulihan akun.

Jika satu identitas—terutama yang memiliki hak istimewa—berhasil diretas, akun tersebut dapat menjadi pintu masuk ke seluruh ekosistem cloud organisasi. Karena itu, memperkuat autentikasi, membatasi hak akses, dan memantau aktivitas identitas menjadi pertahanan paling penting dalam lingkungan cloud modern.