- 25,303
- 46
- 8 Ноя 2022
Хакерам не нужны вирусы, когда есть легальные лазейки.
Американские власти обратили внимание на уязвимости в системах управления устройствами после масштабной атаки на медицинскую корпорацию Stryker. Инцидент показал, как злоумышленники могут использовать легитимные инструменты администрирования для разрушительных действий внутри корпоративной инфраструктуры.
Агентство по кибербезопасности и защите инфраструктуры (CISA) сообщило о рисках для организаций, применяющих Microsoft Intune. Поводом стала атака 11 марта , в ходе которой неизвестные получили доступ к системе управления и уничтожили данные на десятках тысяч устройств. По данным источников, злоумышленники создали новый аккаунт с правами глобального администратора после компрометации учётной записи с повышенными привилегиями.
Ответственность за атаку взяла на себя группировка Handala , связанная с проиранскими хактивистами. Участники заявили о краже около 50 терабайт данных перед тем, как инициировать массовое удаление информации примерно на 80 тысячах устройств через встроенные функции Intune.
Microsoft выпустила рекомендации по усилению защиты сервиса вскоре после инцидента. Компания предлагает пересмотреть права доступа администраторов и ограничивать их минимально необходимым набором разрешений. Для этого советуют использовать ролевую модель управления доступом, встроенную в Intune.
CISA поддержала рекомендации и призвала организации усилить контроль над административными действиями. В частности, речь идёт о внедрении многофакторной аутентификации, отслеживании рисков учётных записей и применении политик условного доступа через Microsoft Entra ID . Дополнительно предлагается вводить обязательное согласование критических операций несколькими администраторами, включая удаление устройств и изменение настроек доступа.
Handala появилась в конце 2023 года и изначально атаковала израильские организации с использованием вредоносных программ для уничтожения данных на системах Windows и Linux. Группировка также известна кражами конфиденциальной информации и публикацией похищенных материалов.
Американские власти обратили внимание на уязвимости в системах управления устройствами после масштабной атаки на медицинскую корпорацию Stryker. Инцидент показал, как злоумышленники могут использовать легитимные инструменты администрирования для разрушительных действий внутри корпоративной инфраструктуры.
Агентство по кибербезопасности и защите инфраструктуры (CISA) сообщило о рисках для организаций, применяющих Microsoft Intune. Поводом стала атака 11 марта , в ходе которой неизвестные получили доступ к системе управления и уничтожили данные на десятках тысяч устройств. По данным источников, злоумышленники создали новый аккаунт с правами глобального администратора после компрометации учётной записи с повышенными привилегиями.
Ответственность за атаку взяла на себя группировка Handala , связанная с проиранскими хактивистами. Участники заявили о краже около 50 терабайт данных перед тем, как инициировать массовое удаление информации примерно на 80 тысячах устройств через встроенные функции Intune.
Microsoft выпустила рекомендации по усилению защиты сервиса вскоре после инцидента. Компания предлагает пересмотреть права доступа администраторов и ограничивать их минимально необходимым набором разрешений. Для этого советуют использовать ролевую модель управления доступом, встроенную в Intune.
CISA поддержала рекомендации и призвала организации усилить контроль над административными действиями. В частности, речь идёт о внедрении многофакторной аутентификации, отслеживании рисков учётных записей и применении политик условного доступа через Microsoft Entra ID . Дополнительно предлагается вводить обязательное согласование критических операций несколькими администраторами, включая удаление устройств и изменение настроек доступа.
Handala появилась в конце 2023 года и изначально атаковала израильские организации с использованием вредоносных программ для уничтожения данных на системах Windows и Linux. Группировка также известна кражами конфиденциальной информации и публикацией похищенных материалов.
- Источник новости
- www.securitylab.ru
