kaito834Mar 17

Stryker attack wiped tens of thousands of devices, no malware needed https://www.bleepingcomputer.com/news/security/stryker-attack-wiped-tens-of-thousands-of-devices-no-malware-needed/

攻撃者はIntuneのwipeコマンドを悪用して、80,000近くのデバイスからデータを削除したという。攻撃者は管理者アカウントを侵害した後、新しくGlobal Administrator accountアカウントを作成したという

"Some employees had their personal devices enrolled in the company network and lost personal data during the wiping process"

Stryker attack wiped tens of thousands of devices, no malware needed

Last week's cyberattack on medical technology giant Stryker was limited to its internal Microsoft environment and remotely wiped tens of thousands of employee devices.

BleepingComputer
Show threadkaito834

正規のIntune経由でデータをワイプする攻撃が起きたため、Intuneの存在が攻撃面になってしまった https://blog.cloudnative.co.jp/articles/regular-intune-wipe-attack/

「Global Adminは緊急アクセス用(Break Glass)に限定し、通常は無効化またはPIMでJust-in-Time昇格」/「特権アクセス用デバイス(Privileged Access Devices、いわゆるPAW)の導入を検討」/「対策3:Multi Admin Approval(複数管理者承認)」/「Intuneには「Wipe(デバイス全体の初期化)」と「Retire(企業データのみの削除、個人データは保持)」の2種類があります」/「エンドポイントバックアップソリューションの選択肢」

正規のIntune経由でデータをワイプする攻撃が起きたため、Intuneの存在が攻撃面になってしまった | CloudNative BLOGs

本記事では、Microsoft Intuneの正規ワイプ機能が悪用されたサイバー攻撃について解説します。具体的には、Stryker社の事例、CISAの緊急勧告、Intuneの管理プレーン強化策を整理しました。

CloudNative BLOGs
Mar 22 at 11:58pmWeb