連邦政府のサイバーセキュリティ機関は、ミシガン州の医療機器企業に対するイランとつながると言われるサイバー攻撃に続き、企業ネットワーク内のすべてのデバイスを管理するために設計された重要なマイクロソフトツールの展開をより良く保護するよう組織に促した。
FBI とサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は水曜の夜に勧告を発表し、最近の Stryker への攻撃への対応への関与を確認した。Stryker は 200,000 台以上の企業デバイスが完全に削除された攻撃から 1 週間以上回復するために苦労している大規模なヘルスケアテクノロジー企業である。
攻撃者はマルウェアを使用せず、代わりに Intune と呼ばれる正規のマイクロソフトデバイス管理システムに侵入し、その方法で企業のデータを削除した。CISA は Intune を使用している企業に、マイクロソフトの新しくリリースされたベストプラクティスに従い、「エンドポイント管理システムの構成を強化する」ことを促した。
勧告は、Intune の顧客は、日常業務を完了するために各役割に必要な最小限の権限を割り当てるためにロールベースのアクセス制御を使用すべきであると述べている。すべてのアカウントは、「Microsoft Intune の特権アクションへの不正アクセスをブロック」するために多要素認証と Microsoft Entra ID を持つべきである。
「機密性の高いまたは高い影響を与えるアクション(デバイスのワイプなど)への変更を許可するために、2 番目の管理者アカウントの承認を必要とするポリシーを設定する」と CISA は述べた。
CISA は Intune を保護するために追加できるセキュリティ機能に関する他のいくつかのマイクロソフト文書へのリンクを提供した。
Stryker 攻撃の背後にあるハッキンググループ(Handala という名前)は、数千のデバイスをワイプし、企業の従業員を重要なシステムからロックアウトし、米国、アイルランド、インド、その他の国の工場で働き続けるために苦労している。一部の従業員は、個人用デバイスに Intune がインストールされていることを不平を言うためにソーシャルメディアに訴えた。つまり、彼ら自身の非企業データさえもワイプされていた。
CISA は「連邦捜査局(FBI)を含む連邦パートナーとの強化された調整を実施して、追加の脅威を特定し、軽減措置を決定する」と述べた。
Handala グループに関連するウェブサイトが今週、連邦当局によって削除された。FBI はグループのウェブサイトにバナーを置き、FBI は、ウェブサイトが「外国の国家行為者に代わって、または外国の国家行為者と調整して、悪意のあるサイバー活動を実行、促進、または支援するために使用された」と判断した後に差し押さえ令状を提出したと述べた。
「これらの活動には、不正なネットワーク侵入、インフラ破壊、またはその他の米国法違反が含まれる可能性があります」と FBI は書いた。バナーは、米国が「継続中の悪意のあるサイバー操作を中断し、さらなる悪用を防ぐために」ウェブサイトを引き継いだと付け加えている。
この行動は、イスラエル当局が Handala の背後にあるいくつかのイラン指導者が最近空爆で殺害されたと主張した後に来た。
翻訳元: https://therecord.media/fbi-cisa-warn-of-microsoft-intune-risks-stryker
