Hackers raderade 200 000 enheter via Intune — så skyddar du din miljö
Iran-kopplade Handala använde Microsoft Intune för att radera 200 000+ enheter hos Stryker. Så skyddar du din organisation.
Microsoft Intune — verktyget som ska skydda dina enheter — användes för att radera över 200 000 av dem. Den 11 mars slog den Iran-kopplade gruppen Handala till mot medicintekniska jätten Stryker och körde fjärrensning via Intune i 79 länder.
Handala, som kopplas till iranska underrättelsetjänsten MOIS, tog sig in genom ett komprometterat admin-konto. Därifrån var det en enda kommandorad till massutplåning. CISA reagerade den 19 mars med specifik vägledning om att säkra Intune-miljöer.
Vad hände tekniskt
Angriparna utnyttjade en brist i Privileged Identity Management (PIM) — den s.k. Authentication Context-gapet. Utan korrekt konfigurerad PIM kunde admin-kontot utfärda bulk-wipe-kommandon utan extra verifiering. Inga godkännandeworkflows stoppade dem.
ThreatHunter.ai har nu släppt Detection Pack v2 med fem konkreta försvarsåtgärder:
- KQL-frågor för Microsoft Sentinel som fångar MuddyWater-positionering
- Detektering av PIM Authentication Context-brister
- Trestegs bulkensningsskydd
- Inaktiva sessionsalarmer
- Rclone-exfiltreringsdetektering
Vad du ska göra nu
- Granska PIM-konfigurationen för alla Intune-adminroller. Kräv Authentication Context för känsliga operationer.
- Aktivera godkännandeworkflows för bulk-åtgärder (wipe/retire). En admin ska inte kunna radera tusentals enheter utan godkännande.
- Rensa inaktiva adminsessioner. Ställ in sessionslivstid och kräv omautentisering.
- Distribuera KQL-frågorna från Detection Pack v2 i er Sentinel- eller Defender XDR-miljö.
Om ni har Stryker som referenspunkt behöver ni inte övertyga ledningen om att Intune-säkerhet är viktigt. Frågan är bara: har ni gjort det redan?
Vi på HaggeBurger erbjuder en Intune Security Assessment som täcker PIM, bulkåtgärder, sessionshantering och detekteringsregler. Kontakta oss för en genomgång.