研究者らは、Microsoft Intuneが重要なデバイスをワイプするために兵器化された可能性があると警告しています。
医療機器大手Strykerに対する疑いのあるワイパー攻撃により、セキュリティコミュニティの多くがMicrosoft Intuneの役割を検討するようになりました。
ポーテージ(ミシガン州)本拠の外科機器専門企業Strykerは先週、数千のモバイルデバイスおよび他のシステムに影響を与える攻撃を受けました。
同社は規制上の届出で、この攻撃がMicrosoft環境に影響を与えたことを確認し、顧客向けアップデートで電子注文システムが利用不可のままであることを警告しました。
イラン関連のハッカーHandalaという名前で追跡されている者が攻撃の犯行声明を上げていると、Check Point Researchが報告しています。このハッカーは50テラバイトのデータを盗み、その過程で数千のサーバーおよびモバイルデバイスから情報をワイプしたと主張しています。
Halcyonの研究者らはCybersecurity Diveに対し、Strykerの攻撃がIntune Base64文字列を持つすべてのスマートフォンとワークステーションに影響を与えたと述べました。研究者によると、Intuneは通常、ソフトウェアをプッシュするか、Base64エンコードされたデバイスを管理するために使用されます。
ペイロードには影響を受けたすべてのデバイスのデータを削除するために使用されたリモートワイプコマンドが含まれていたと、Halcyonが述べています。
研究者によると、そのような攻撃を実施するには、ハッカーはIntune管理者またはグローバル管理者権限を取得する必要があります。
Forresterのシニア分析家Paddy Harringtonは、この攻撃はMicrosoft Intuneのいかなる本質的な弱点も示していないと述べていますが、本質的には既存のセキュリティシステムを回避するために「生活の中から」技術を利用しています。
モバイルデバイス管理プラットフォームを使用した攻撃は新しいものではなく、近年、重大な攻撃を実施するために使用されてきました。Harringtonは、欧州委員会に対する1月の攻撃と、Cerberusバンキングトロイの木馬を使用した多国籍企業に対する2020年の攻撃を指摘しています。
「MDM/UEMへのアクセスにMFAを使用することで、単純なアカウント乗っ取り攻撃の可能性を減らすことができます。そしてワイプアクションのような破壊的な機能については、Intuneおよびその他の最新プラットフォームには、1人が重大な変更を加えることができないようにする複数アカウント承認機能があります」とHarringtonはCybersecurity Diveに述べました。
Palo Alto Networks Unit 42の研究者らはStryker攻撃の詳細についてコメントしませんでしたが、木曜日に発表されたブログ投稿によると、データを削除することを目的とした複数の企業のサーバーとワークステーションを対象とした破壊的なワイパー攻撃に関するイスラエルの国立サイバー局の3月6日のレポートを引用しました。
「木曜日に発表されたブログ投稿によると、Unit 42のブログ投稿によると、これらの攻撃の一部では、ハッカーが正当なユーザーから認証情報またはその他の情報にアクセスし、それをシステムへの初期アクセスを獲得するために兵器化しました。
Microsoftはこれまでこのインシデントについてコメントを拒否していますが、スポークスパーソンはCybersecurity Diveに対し、追加情報が入手可能になれば更新を提供すると述べました。
Strykerは攻撃を調査するために第三者のフォレンジック専門家と協力しており、サイバーセキュリティおよびインフラストラクチャセキュリティ庁も攻撃を調査しています。
翻訳元: https://www.cybersecuritydive.com/news/stryker-attack-device-management-microsoft-iran/814816/
