Het cyberagentschap van de Amerikaanse overheid heeft na een cyberaanval op een fabrikant van medische apparatuur organisaties opgeroepen om Microsoft Intune beter te beveiligen. Microsoft Intune is een cloudgebaseerde oplossing waarmee organisaties hun endpoints, zoals telefoons en laptops, op afstand kunnen beheren. Via Intune is het mogelijk om een wipe commando op systemen uit te voeren, waarmee er een fabrieksreset plaatsvindt en alle data wordt verwijderd.

Fabrikant van medische apparatuur Stryker, een Fortune 500-bedrijf met een jaaromzet van meer dan 25 miljard dollar, werd onlangs platgelegd door een cyberaanval op de Microsoft-omgeving. Het bedrijf heeft nog niet bekendgemaakt hoe de aanval mogelijk was, maar dit zou naar verluidt via Microsoft Intune zijn gedaan. De aanvallers zouden toegang tot een admin-account hebben gekregen, om daarna op tienduizenden apparaten het wipe commando uit te voeren.

Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is nu met een oproep aan organisaties gekomen om Microsoft Intune beter te beveiligen. Zo wordt opgeroepen tot het gebruik van de role-based access control (RBAC) die Intune biedt en ervoor zorgt dat elke rol alleen de meest noodzakelijke rechten krijgt voor het uitvoeren van dagelijkse werkzaamheden.

Tevens wordt gepleit voor het gebruik van phishingbestendige multifactorauthenticatie (MFA) en het gebruik van Microsoft Entra ID om ongeautoriseerde toegang tot "privileged" acties in Intune te blokkeren. Als laatste wordt aangeraden om "Multi Admin Approval" binnen Intune toe te passen. Voor gevoelige en impactvolle acties, zoals het wissen van apparaten, is dan toestemming van een tweede administrator nodig. Verder wijst het CISA ook naar best practices van Microsoft voor het beveiligen van Intune.