微软Defender安全研究团队近日发布报告称,一个被追踪为Storm-2949的黑客组织正通过滥用Microsoft生态中的自服务密码重置(Self-Service Password Reset, SSPR)流程,实施高度定向的账户劫持攻击,窃取用户凭据并大批量导出敏感数据。该攻击专门针对Microsoft 365和Azure环境,微软已敦促企业收紧基于角色的访问控制(RBAC)并加强对高风险操作的监控。
据微软介绍,Storm-2949的攻陷过程“有条不紊、复杂且多层次”。攻击者首先识别目标,获取其电话号码以及登录微软服务所用的电子邮件地址。然后,攻击者主动发起密码重置请求,几乎同时拨打电话给受害人,假扮成IT技术人员,以“帮助解决密码问题”为由,诱骗受害者批准发送到其设备上的多因素认证(MFA)提示。一旦MFA通过,攻击者即可设置新密码并完全接管账户,随后将受害者踢出账户并导出Exchange Online邮件、SharePoint文档及其他敏感数据。
风暴-2949之所以选择SSPR流程,是因为该功能在正常情况下协助用户自主找回遗忘凭据:用户点击“忘记密码”,Microsoft向注册的备用设备发送MFA提示,用户批准后即可通过发起重置的同一设备设定新密码。但攻击者将这一便利流程变为了突破口,以电话诈骗的形式绕过了MFA的安全设计本意。
报告指出,这并非简单的网络钓鱼或密码喷洒,而是高度针对性的社会工程与系统功能滥用的结合。攻击者预先掌握了目标的大量信息,并在电话中施加心理压力,使受害者在短时间内误批MFA请求。一旦密码被重置,原持有者将无法再登录账户,且攻击者可利用该账户在组织内部进行横向移动。
防御建议:收紧RBAC与监控敏感操作
针对Storm-2949的攻击手法,微软建议企业采取以下预防措施:首先,严格实施最小权限原则,配置RBAC规则,避免用户或服务账户拥有不必要的全局管理员或密码管理员权限。其次,启用并审计高安全敏感操作,如密码重置、MFA注册和修改、管理员角色分配等,及时捕捉异常行为。微软还建议组织结合条件访问策略(Conditional Access Policies),对执行密码重置的地点、设备和时间进行限制,并强制要求更高的身份保证级别,如使用FIDO2安全密钥或Windows Hello。
此外,微软特别提醒用户保持警惕:不要在电话中仅凭来电者声称的身份就批准MFA请求;如果接到自称IT支持的来电要求批准密码或MFA操作,应挂断后通过官方渠道回拨验证。企业和机构也应加强对员工的社交工程培训,告知最新的攻击手段,尤其是针对SSPR流程的滥用方式。
本次Storm-2949组织的攻击活动因其方法的系统性和对微软自有功能的高度利用,在近年来针对企业在线服务的攻击中颇为突出。微软将持续监控相关威胁并更新检测规则,同时强调SSPR本是一项合法、有益的功能,关键在于防止被对手当作武器化工具。企业和用户唯有理解攻击者的逻辑并提前构建多层防御,才能有效降低被此类针对性攻击突破的风险。
本文参考来源:TechRadar
