Fitur Self-Service Password Reset (SSPR) Microsoft Dieksploitasi dalam Serangan Pencurian Data Massal di Azure

Microsoft secara resmi mengeluarkan laporan peringatan terkait aktivitas kelompok peretas baru yang membidik ekosistem produksi Microsoft 365 dan Azure. Aktor ancaman ini menyusup dan menjarah data korporat secara masif dengan cara menyalahgunakan fitur tata kelola administrasi resmi, salah satunya adalah alur Self-Service Password Reset (SSPR).

Lembaga riset keamanan Microsoft melacak pergerakan kelompok ini di bawah kode identifikasi sementara Storm-2949. Microsoft menegaskan bahwa tujuan utama dari kampanye ini murni bermotif spionase data ekonomi, yaitu “mengekstrak sebanyak mungkin data sensitif dari aset bernilai tinggi milik organisasi target.”

Vektor Serangan: Rekayasa Sosial & Pembajakan MFA Tingkat Tinggi

Serangan Storm-2949 tidak dimulai dari eksploitasi celah keamanan kode (zero-day), melainkan memanfaatkan kelengahan manusia lewat teknik rekayasa sosial (social engineering) yang sangat terarah (spear-phishing):

1. Membidik Akun Privilese: Penyerang secara khusus mengincar akun karyawan yang memiliki peran penting (privileged roles), seperti staf IT eksekutif, administrator jaringan, atau jajaran kepemimpinan senior perusahaan.
2. Manipulasi Alur SSPR: Peretas memicu proses reset kata sandi mandiri (SSPR) pada akun target. Hal ini otomatis memicu pengiriman notifikasi persetujuan Multi-Factor Authentication (MFA) ke perangkat korban.
3. Penyamaran sebagai Helpdesk: Untuk memuluskan aksi, peretas melakukan panggilan telepon atau mengirim pesan instan dengan menyamar sebagai staf IT Support internal perusahaan. Mereka mengeklaim sedang melakukan verifikasi akun darurat dan mendesak korban untuk mengklik tombol “Approve” pada perintah MFA yang muncul.
4. Pengambilalihan Total: Begitu korban terjebak dan menyetujui perintah tersebut, penyerang langsung mereset kata sandi akun, menghapus perangkat MFA lama milik korban, dan mendaftarkan aplikasi Microsoft Authenticator dari perangkat milik penyerang sendiri.

Eksploitasi Microsoft 365 via Graph API

Setelah berhasil menguasai akun dengan hak akses admin tersebut, Storm-2949 bergerak cepat mengeksploitasi ekosistem Microsoft 365 menggunakan skrip Python kustom yang terintegrasi dengan Microsoft Graph API:

• Peta Jaringan: Skrip otomatis tersebut memetakan daftar pengguna lain, mendeteksi struktur peran, mendata aplikasi terhubung, serta memeriksa service principals untuk menanamkan hak akses jangka panjang (persistence).
• Penyisiran Dokumen: Penyerang masuk ke repositori OneDrive dan SharePoint untuk berburu file operasional IT, file konfigurasi VPN, serta detail akses jarak jauh guna mempermudah pergerakan lateral (lateral movement) dari cloud ke jaringan komputer lokal (endpoints).
• Pencurian Skala Besar: “Dalam satu insiden, Storm-2949 memanfaatkan antarmuka web OneDrive untuk mengunduh ribuan berkas penting sekaligus dalam satu tindakan tunggal ke infrastruktur milik mereka sendiri,” tulis Microsoft dalam laporan teknisnya.

Pivoting Agresif ke Infrastruktur Produksi Azure

Bahaya terbesar dari kampanye Storm-2949 adalah kemampuan mereka melakukan ekspansi serangan (pivoting) dari akun Microsoft 365 ke dalam langganan (subscriptions) Azure Production Environment milik korban.

Karena akun yang dibajak memiliki fungsi kontrol akses berbasis peran (Role-Based Access Control – RBAC) tingkat tinggi, peretas sukses melakukan penetrasi mendalam ke berbagai aset krusial:

[Akun Korban Dibajak] 
       │
       ▼ (Akses Azure RBAC)
[Azure App Services] ──► Eksploitasi Konsol Kudu, FTP, & Web Deploy (Eksekusi Perintah Jarak Jauh)
       │
       ▼ (Ubah Aturan Firewall & Akses)
[Azure Key Vaults]   ──► Pencurian Dozen Kredensial Database & Connection Strings
       │
       ▼ (Injeksi Skrip Python)
[Azure SQL & Storage]──► Penjarahan Token SAS, Kunci Penyimpanan, & Data Storage Accounts
       │
       ▼ (Penyalahgunaan Fitur VMAccess / Run Command)
[Azure Virtual Machines] ──► Buat Akun Admin Palsu & Tanam Remote Access Tool (ScreenConnect)

Pada fase akhir serangan, peretas mencoba mematikan proteksi Microsoft Defender di dalam server serta menghapus seluruh log forensik (wipe event logs) untuk menghilangkan jejak digital mereka dari endusan tim Security Operations Center (SOC).

Rekomendasi Penguatan Keamanan dari Microsoft

Guna memagari infrastruktur cloud perusahaan dari agresivitas taktik Storm-2949, Microsoft mendesak para administrator jaringan untuk segera menerapkan praktik terbaik berikut:

1. Terapkan Prinsip Least Privilege: Batasi secara ketat pemberian hak akses kustom Azure RBAC. Pastikan akun admin tidak digunakan untuk aktivitas produktivitas harian seperti membuka email.
2. Migrasi ke Phishing-Resistant MFA: Untuk akun-akun dengan hak akses privilese tinggi, wajibkan penggunaan metode MFA yang kebal terhadap rekayasa sosial, seperti kunci keamanan fisik berbasis FIDO2 atau implementasi Windows Hello for Business, guna memutus efektivitas manipulasi psikologis via telepon.
3. Perketat Kebijakan SSPR & Conditional Access: Batasi siapa saja yang berhak melakukan reset kata sandi mandiri, serta aktifkan Conditional Access Policies yang memblokir permintaan masuk dari alamat IP atau wilayah geografis yang tidak dikenal.
4. Audit dan Retensi Log Panjang: Konfigurasikan penyimpanan log audit Azure Key Vault hingga minimal satu tahun, serta aktifkan sistem pemantauan otomatis (alerting) untuk mendeteksi adanya aktivitas operasi manajemen Azure yang dinilai berisiko tinggi secara mendadak.