คำตอบเผยแพร่แล้ว12 แหล่งที่มา
Storm‑2949: จากบัญชีเดียวสู่การเจาะระบบ Microsoft 365 และ Azure ทั่วทั้งคลาวด์
Microsoft ระบุว่า Storm‑2949 เริ่มจากการยึดบัญชีผู้ใช้เพียงบัญชีเดียว จากนั้นใช้ Self‑Service Password Reset และ Microsoft Graph API สำรวจโครงสร้าง tenant เพื่อขยายสิทธิ์ใน Microsoft 365 และ Azure [1][4] ผู้โจมตีใช้สคริปต์ Python เรียก Microsoft Graph API อัตโนมัติเพื่อค้นหาบัญชีและแอปที่มีสิทธิ์สูง ก่อนใช้ Azure RB...
1.5M0
AI พรอมต์
openai.comCreate a landscape editorial hero image for this Studio Global article: What did Microsoft reveal about how Storm-2949 used a compromised identity and the Self-Service Password Reset process to breach Microsoft 3. Article summary: Microsoft described Storm-2949 as an identity-based cloud intrusion that did not rely on malware; the actor used a compromised account, abused Self-Service Password Reset, then expanded access across Microsoft 365 and Az. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Hackers Exploit Entra ID Accounts to Steal Microsoft 365, Azure Data. Hackers Abuse Microsoft Entra ID Accounts to Exfiltrate Microsoft 365 and Azure Data. A highly sophisticated c" source context "Hackers Exploit Entra ID Accounts to Steal Microsoft 365, Azure Data" Reference image 2: visual subject "Microsoft S
การโจมตีที่ Microsoft ติดตามในชื่อ Storm‑2949 แสดงให้เห็นแนวโน้มใหม่ของภัยไซเบอร์บนคลาวด์: ผู้โจมตีไม่จำเป็นต้องใช้มัลแวร์เลยก็สามารถเข้าถึงระบบระดับองค์กรได้ เพียงแค่ควบคุมบัญชีผู้ใช้หนึ่งบัญชีแล้วใช้เครื่องมือและ API ของคลาวด์ที่มีอยู่แล้วในระบบเพื่อขยายการเข้าถึงต่อไป
กรณีนี้ทำให้เห็นชัดว่า “identity” หรือบัญชีผู้ใช้ กลายเป็นพื้นผิวการโจมตีหลักของระบบคลาวด์ยุคใหม่
จุดเริ่มต้น: การยึดบัญชีผู้ใช้เพียงบัญชีเดียว
ตามรายงานของ Microsoft Threat Intelligence การโจมตีเริ่มจาก การยึดบัญชีผู้ใช้ (identity takeover) ภายในระบบ Microsoft Entra ID ขององค์กร
หลังจากเข้าถึงบัญชีได้แล้ว ผู้โจมตีเริ่มสำรวจโครงสร้างของ tenant ทันที เพื่อหาบัญชีหรือบริการที่มีสิทธิ์สูงกว่า
ขั้นตอนสำคัญคือการใช้ Microsoft Graph API ซึ่งเป็น API ที่องค์กรใช้บริหารจัดการผู้ใช้ กลุ่ม แอป และสิทธิ์ใน Microsoft 365 และ Azure
Microsoft พบว่าผู้โจมตีใช้ สคริปต์ Python แบบกำหนดเอง เพื่อส่งคำขอ API จำนวนมากโดยอัตโนมัติ ทำให้สามารถ:
- ดึงรายชื่อผู้ใช้ใน tenant
- ตรวจสอบแอปพลิเคชันและบริการ
- วิเคราะห์ชื่อบัญชีและ attribute เพื่อค้นหาบัญชีที่มีสิทธิ์สูง
กระบวนการนี้ทำให้ผู้โจมตีสามารถ ทำแผนที่โครงสร้าง identity ขององค์กรทั้งระบบ และมองเห็นเส้นทางในการยกระดับสิทธิ์
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
คนยังถาม
คำตอบสั้น ๆ สำหรับ "Storm‑2949: จากบัญชีเดียวสู่การเจาะระบบ Microsoft 365 และ Azure ทั่วทั้งคลาวด์" คืออะไร
Microsoft ระบุว่า Storm‑2949 เริ่มจากการยึดบัญชีผู้ใช้เพียงบัญชีเดียว จากนั้นใช้ Self‑Service Password Reset และ Microsoft Graph API สำรวจโครงสร้าง tenant เพื่อขยายสิทธิ์ใน Microsoft 365 และ Azure [1][4]
ประเด็นสำคัญที่ต้องตรวจสอบก่อนคืออะไร?
Microsoft ระบุว่า Storm‑2949 เริ่มจากการยึดบัญชีผู้ใช้เพียงบัญชีเดียว จากนั้นใช้ Self‑Service Password Reset และ Microsoft Graph API สำรวจโครงสร้าง tenant เพื่อขยายสิทธิ์ใน Microsoft 365 และ Azure [1][4] ผู้โจมตีใช้สคริปต์ Python เรียก Microsoft Graph API อัตโนมัติเพื่อค้นหาบัญชีและแอปที่มีสิทธิ์สูง ก่อนใช้ Azure RBAC และเครื่องมือผู้ดูแลระบบจริง เช่น VMAccess, Run Command และ PowerShell เพื่อเข้าถึงทรัพยากรสำคัญ [1][4]
ฉันควรทำอย่างไรต่อไปในทางปฏิบัติ?
Microsoft แนะนำให้องค์กรเสริมความปลอดภัยด้าน identity เช่น MFA, Conditional Access, ตรวจสอบการตั้งค่า SSPR และตรวจสอบสิทธิ์ RBAC เพื่อลดความเสี่ยงจากการโจมตีแบบ identity‑driven [4]
แหล่งที่มา
- thecyberexpress.comMicrosoft Exposes Storm-2949 Azure And M365 Breach
- microsoft.comHow Storm-2949 turned a compromised identity into a cloud-wide ...
- zeonedge.comMicrosoft Azure Account Compromised: Complete Incident ...
- cloudsecurityalliance.orgEnhancing Cybersecurity with CASUAL in Microsoft 365 | CSA
- obsidiansecurity.comSelf-Service Password Reset (SSPR) Abuse in Azure AD
Loading comments...
Comments
0 comments