De Amerikaanse overheid heeft een waarschuwing uitgegeven aan organisaties om hun Microsoft Intune-beheeromgevingen beter te beveiligen. Dit volgt op een cyberaanval op het Amerikaanse medisch technologiebedrijf Stryker, waarbij aanvallers misbruik maakten van endpoint managementsoftware om toegang te krijgen tot de Microsoft-omgeving van het bedrijf.

Volgens de Amerikaanse cybersecuritydienst CISA maakten de aanvallers gebruik van legitieme beheertools, waardoor de aanval moeilijk te detecteren was en de impact aanzienlijk toenam. De aanval leidde tot het offline gaan van delen van het netwerk, wat niet alleen de logistiek verstoorde, maar ook vertragingen veroorzaakte bij medische ingrepen. Dit illustreert dat aanvallen op IT-beheersystemen niet alleen digitale schade veroorzaken, maar ook fysieke processen kunnen beïnvloeden, vooral in sectoren zoals de gezondheidszorg.

De gebruikte aanvalsmethode richtte zich op identity en toegangsbeheer. De aanvallers kregen toegang tot de Intune-omgeving van Stryker en creëerden nieuwe administratieve accounts, waarmee zij de controle over systemen en toegangsrechten binnen de organisatie konden overnemen. Deze aanpak sluit aan bij een bredere trend waarbij aanvallers zich richten op toegangsbeheer in plaats van softwarekwetsbaarheden.

CISA benadrukt in haar advies de beveiligingsrichtlijnen van Microsoft voor Intune, met de nadruk op het beperken van rechten, het afdwingen van sterke authenticatie en het toevoegen van extra controlemechanismen bij gevoelige acties. Dit sluit aan bij Microsofts Zero Trust-strategie, waarbij geen enkele gebruiker of handeling standaard wordt vertrouwd. Functionaliteiten van Entra ID, zoals Conditional Access en risicogebaseerde toegangscontrole, kunnen afwijkend gedrag detecteren en toegang dynamisch beperken, maar de effectiviteit hiervan hangt af van de juiste configuratie binnen organisaties.

Daarnaast wordt het gebruik van aanvullende goedkeuringsmechanismen voor kritieke acties binnen Intune aanbevolen, zoals het vereisen van meerdere beheerders voor ingrijpende wijzigingen. Dit moet voorkomen dat één gecompromitteerd account grootschalige schade kan aanrichten. Volgens Bloomberg claimde de pro-Iraanse groep Handala de verantwoordelijkheid voor de aanval, wat past binnen een trend waarbij geopolitieke spanningen zich vertalen in digitale aanvallen op commerciële organisaties.