答案已發布12 來源
Storm‑2949:一個身份帳戶被盜,點樣演變成整個 Microsoft 365 同 Azure 雲端入侵
微軟披露 Storm‑2949 攻擊由一個被盜帳戶開始,攻擊者透過 Microsoft Graph API 掃描整個租戶結構並尋找高權限身份。[1][4] 入侵者濫用 Self‑Service Password Reset(SSPR)同 Azure RBAC 提升權限,再進一步存取 App Services、Key Vault、SQL 資料庫同虛擬機等關鍵資源。[4] 整個行動幾乎冇部署惡意程式,而係利用 VMAccess、Run Command 同 PowerShell 等官方管理工具隱藏行蹤並持續數日外洩資料。[4]
1.5M0
AI 提示
openai.comCreate a landscape editorial hero image for this Studio Global article: What did Microsoft reveal about how Storm-2949 used a compromised identity and the Self-Service Password Reset process to breach Microsoft 3. Article summary: Microsoft described Storm-2949 as an identity-based cloud intrusion that did not rely on malware; the actor used a compromised account, abused Self-Service Password Reset, then expanded access across Microsoft 365 and Az. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Hackers Exploit Entra ID Accounts to Steal Microsoft 365, Azure Data. Hackers Abuse Microsoft Entra ID Accounts to Exfiltrate Microsoft 365 and Azure Data. A highly sophisticated c" source context "Hackers Exploit Entra ID Accounts to Steal Microsoft 365, Azure Data" Reference image 2: visual subject "Microsoft S
Microsoft 最近公開 Storm‑2949 雲端入侵事件的調查結果。呢次攻擊最特別嘅地方係——幾乎冇用到惡意程式。相反,攻擊者只係控制咗一個帳戶,然後利用 Microsoft 365 同 Azure 入面本身存在嘅身份系統同管理工具,一步一步擴大權限,最終入侵整個雲端環境。
呢種手法反映一個越來越明顯嘅趨勢:現代雲端攻擊往往唔再靠漏洞或惡意程式,而係濫用合法 API、權限系統同管理工具。
入侵由一個帳戶開始
微軟威脅情報指出,Storm‑2949 攻擊最初係由 一個被攻陷嘅身份帳戶開始。
一旦取得帳戶控制權,攻擊者立即開始探索受害組織嘅 Microsoft Entra ID(即 Azure AD)租戶環境,目標係找出更多可以利用嘅帳戶同資源。
佢哋使用 Microsoft Graph API 進行大規模目錄掃描。Graph API 係 Microsoft 365 同 Azure 嘅核心介面,可以程式化查詢用戶、群組、應用程式同角色資料。
微軟觀察到攻擊者用 自製 Python 腳本自動發送 Graph API 查詢,批量列出:
- 租戶內所有用戶
- 已註冊應用程式
- 角色與權限
之後再透過名稱模式同角色屬性去搜尋可能擁有高權限嘅帳戶。
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人們還問
「Storm‑2949:一個身份帳戶被盜,點樣演變成整個 Microsoft 365 同 Azure 雲端入侵」的簡短答案是什麼?
微軟披露 Storm‑2949 攻擊由一個被盜帳戶開始,攻擊者透過 Microsoft Graph API 掃描整個租戶結構並尋找高權限身份。[1][4]
首先要驗證的關鍵點是什麼?
微軟披露 Storm‑2949 攻擊由一個被盜帳戶開始,攻擊者透過 Microsoft Graph API 掃描整個租戶結構並尋找高權限身份。[1][4] 入侵者濫用 Self‑Service Password Reset(SSPR)同 Azure RBAC 提升權限,再進一步存取 App Services、Key Vault、SQL 資料庫同虛擬機等關鍵資源。[4]
接下來在實務上我該做什麼?
整個行動幾乎冇部署惡意程式,而係利用 VMAccess、Run Command 同 PowerShell 等官方管理工具隱藏行蹤並持續數日外洩資料。[4]
來源
- thecyberexpress.comMicrosoft Exposes Storm-2949 Azure And M365 Breach
- microsoft.comHow Storm-2949 turned a compromised identity into a cloud-wide ...
- zeonedge.comMicrosoft Azure Account Compromised: Complete Incident ...
- cloudsecurityalliance.orgEnhancing Cybersecurity with CASUAL in Microsoft 365 | CSA
- obsidiansecurity.comSelf-Service Password Reset (SSPR) Abuse in Azure AD
Loading comments...
Comments
0 comments