A CISA emitiu um alerta para organizações dos Estados Unidos após um ataque cibernético que explorou o Microsoft Intune, ferramenta de gerenciamento de dispositivos da Microsoft.
A falha foi utilizada em um ataque contra a Stryker Corporation, resultando na exclusão de sistemas e causando um impacto significativo na infraestrutura da empresa.
Ataque envolveu grupo hacktivista
A Stryker teria sido alvo do grupo Handala, conhecido por sua atuação política e alinhamento com causas pró-palestinas. Segundo os próprios invasores, a ação foi uma retaliação a conflitos no Oriente Médio.
Os cibercriminosos alegam ter exfiltrado cerca de 50 TB de dados antes de apagar aproximadamente 80 mil dispositivos conectados à empresa, na madrugada de 11 de março. A invasão teria sido viabilizada após o comprometimento de uma conta administrativa, permitindo a criação de um novo usuário com privilégios de Administrador Global.
Orientações para reforçar a segurança
Diante do cenário, a CISA recomenda que organizações reforcem imediatamente a segurança de ambientes baseados em Intune e outras soluções de gerenciamento de endpoints.
Entre as principais medidas destacadas estão:
- Aplicação do princípio de menor privilégio para contas administrativas
- Uso de controle de acesso baseado em função (RBAC)
- Implementação obrigatória de autenticação multifator (MFA)
- Adoção de boas práticas de controle de acesso privilegiado
A agência também orienta o uso de recursos do Microsoft Entra ID, como acesso condicional e análise de risco, para reduzir a possibilidade de acessos indevidos.
Controle mais rígido em ações críticas
Outro ponto enfatizado é a necessidade de múltiplas aprovações para operações sensíveis, como:
- Limpeza remota de dispositivos
- Atualizações de aplicativos
- Alterações em permissões administrativas
De acordo com a Microsoft, a combinação dessas práticas reduz a dependência de contas altamente privilegiadas e fortalece a segurança geral do ambiente. A estratégia envolve limitar permissões, validar identidades e garantir maior controle sobre mudanças críticas dentro da infraestrutura corporativa.
