米国は少なくとも一時的にこのグループの活動の一部を抑制しましたが、設定不備のエンドポイント管理システムへのリスクは依然として高いままです。
米国は、イラン親派の脅威者Handalaによる先週の医療用品提供企業Strykerへのハッキング後、情報セキュリティ指導者にエンドポイント管理システムの設定を強化するよう促しています。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)からの警告は、主にMicrosoft Intuneを使用している企業向けです。Microsoft Intuneはクラウドベースの統合エンドポイント管理(UEM)サービスで、複数の破壊的なワイプ、データ窃取、データ流出攻撃で知られるHandalaが侵害することができたと報告されています。ただし、CISAはその推奨事項の防御原則をあらゆるエンドポイント管理ソフトウェアに適用できると述べています。
最大の課題:フィッシング耐性
CISAのアドバイスは確かに「時宜を得ており適切です」と、SANS研究所の研究部長ヨハネス・ウルリッチは述べています。「私の見解では、最大の課題はログインを保護するためのフィッシング耐性認証を実装することです」。
「この問題はモバイルデバイス管理の具体的な問題を超えており、IT指導者が優先順位を付ける必要があります」と彼は指摘しました。「多要素認証は多くの問題を解決しますが、すべてのMFA技術がフィッシング耐性を備えているわけではありません。特に、通常はすべての人がアクセスできるクラウドベースのソリューションについては、堅牢なフィッシング耐性認証は必須です。」
また、個人用デバイスを企業管理のエンドポイント・ソリューションに登録する際には注意が必要であると彼は付け加えました。個人用デバイスの中断を避けるため、会社所有のデバイスのみを登録する必要があり、登録されたデバイスは会社業務に専念するべきです。
エンドポイント管理システムの強化
CISAはIT指導者に以下を推奨しています:
- エンドポイント管理システムの管理ロールを設計する際に、最小権限アクセスの原則を使用してください。Intuneシステムの場合、ロールが実行できるアクション、アクションが適用されるユーザー、対象となるデバイスを制限するロールベースのアクセス制御があります。
- フィッシング耐性のある多要素認証(MFA)と特権アクセス衛生を実施してください。Intuneユーザーおよびその他のユーザーは、条件付きアクセス、MFA、リスク信号、特権アクセス制御を含むMicrosoft Entra ID機能を利用して、Intuneへの不正なアクセスをブロックできます。
- エンドポイント管理システムへのアクセスと変更を行うために、複数の管理者による承認を必要とするアクセスポリシーを設定してください。
CISAはまた、Intune管理者にこれらのMicrosoftドキュメントを指摘しています:Microsoft Intuneをセキュアにするためのベストプラクティス;アクセスポリシーを使用して複数管理者承認を実装する、セキュリティを強化するためのMicrosoft Intuneを設定する;Microsoft Intuneによるロールベースのアクセス制御(RBAC)およびPrivileged Identity Managementの導入計画。
DigiCertのフィールドCTO、マイケル・スミスは、CISAの警告はMicrosoft Intuneに特別に適用されますが、エンドポイント上で管理者として実行される多くの同様の製品があると指摘しました。これらはエンドポイント上で変更を行うため、エスカレートされた権限が必要です。これはそれらをITの強力なツールにしますが、彼は付け加えて、それはそれらをターゲットにしています。これらの製品の妥協は、それらが管理するエンドポイントの妥協につながる可能性があります。
「取り返しのつかない損害」を引き起こす力
Strykerは、3月11日の攻撃が注文処理、製造、配送に混乱をもたらしたと述べました。しかし、Handalaは数千台の従業員デバイスをリモートでワイプすることもできたと主張しています。
3月15日の更新で、Strykerは顧客が使用するすべての接続デジタル技術および生命救助技術は安全に使用できると述べました。「このイベントはStrykerの内部Microsoft環境に限定されており、その結果、当社の製品(接続されているかどうかに関わらず)には影響を与えませんでした」とステートメントは述べています。会社は、ランサムウェアやマルウェアは導入されなかったと付け加えました。
Stryker事件では、攻撃者は企業が毎日信頼するツールをハイジャックし、それを使用して世界規模での操業を停止させた、と Arctic WolfのThreat Intelligence副社長イスマエル・バレンズエラはコメントしました。「Microsoft Intuneを悪用することで、彼らは79カ国全体で20万台以上のデバイスをリモートでワイプできました。教訓は明確です:単一のログインに取り返しのつかない損害をもたらす力を持たせるべきではありません」と彼は述べました。
「デバイスワイプ、大量ポリシー変更、テナント全体の更新などの破壊的な管理操作には複数の承認が必要です」と彼は付け加えました。「単一のセッション、認証情報、またはロールが、独立した認可なしに大規模な破壊的アクションを実行できるべきではありません。組織は、管理者アクセスを厳しく制限し、複数関係者の承認を実施し、特権活動を継続的に監視することで、エンドポイント管理ツールを即座にロックダウンして、信頼されたプラットフォームが単一障害点にならないようにするべきです。」
エンドポイント管理は高い価値を持つターゲット
カナダのインシデント対応企業Digital Defenceの責任者、ロバート・ベッグスは、エンドポイント管理システムが普遍的に信頼されており、IT網全体に設定、スクリプト、リモートアクションをプッシュするため、常に高い価値を持つターゲットであったと述べました。
「Stryker事件はMicrosoft Intuneアプリケーションの悪用を物語っていますが、過去に同様の製品がターゲットにされており、SolarWinds Orion(2020)、Kaseya VSA(2021)、Microsoft Exchange管理インターフェース(2021)が含まれます」と彼は指摘しました。「これらの攻撃は、悪意のある行為者が個々のシステムを追いかけるのではなく、王国の鍵を持つコントロールを攻撃することの価値を認識していることを示しています。」
彼は、この種の攻撃に対する以下の防御が専門家によって頻繁に引用されていると述べました:最小権限アクセスと重大なアクションの二重承認を採用し、強固なアイデンティティコントロールが実施されていることを確認し、マイクロセグメンテーションを採用し、異常な管理アクティビティを監視してください。
Beggは、これらのタイプの攻撃では管理アクティビティの監視が特に重要であると付け加えました。「営業時間外の管理アクション、または異常な場所またはIPアドレスからのアクティビティを探してください」と彼は述べました。「新しい管理ロールまたは昇格した権限の作成を検証してください。通常の管理アクティビティをベースラインとして設定し、管理者が通常実行しないタスクを実行していることを識別できるようにしてください。」
エンドポイント管理システムは一度に数千台のデバイスに変更をプッシュできるため、予期しないスクリプト展開は新しい設定プロファイルを作成したり、予期しないアクションを実行して防御を無効にしたり悪意のあるコンテンツを展開したりする可能性があると彼は指摘しました。妥協の兆候には、MFAの無効化、セキュリティコントロールの削除、監視ツールの削除、ネットワークアクセスコントロールの変更、ログ設定の変更が含まれます。
「最も重要な質問は、これらのアクションをどのくらい迅速に識別できるか」と彼は述べました。「そして、あなたは回復する準備ができていますか?」
2つのHandalaサイトが押収される
木曜日に、Flashpointの研究者は、FBIがプロパガンダと盗まれたデータのリリースに使用される2つのHandalaウェブサイトを押収したことを確認しました。1つのサイトは現在、ドメインが米国の裁判所命令の下で押収されたというステートメントを掲載しています。FlashpointはHandalaがイラン政権と関連していると考えており、独立した行為者ではありません。
