CISA เตือนองค์กรเร่ง Hardening ระบบ Microsoft Intune หลังแฮกเกอร์ใช้ลบอุปกรณ์ Stryker เกือบ 80,000 เครื่อง

CISA ออกคำเตือนให้องค์กรในสหรัฐฯ เร่ง Hardening ระบบ Microsoft Intune หลังจากแฮกเกอร์ใช้เครื่องมือดังกล่าวสั่ง Wipe อุปกรณ์ของบริษัท Stryker เกือบ 80,000 เครื่อง

เหตุการณ์ดังกล่าวเกิดขึ้นเมื่อวันที่ 11 มีนาคม 2026 โดยกลุ่มแฮกเกอร์ Handala ซึ่งเป็นกลุ่ม Hacktivist ที่มีความเชื่อมโยงกับอิหร่าน อ้างว่าได้ขโมยข้อมูล 50 Terabyte ก่อนใช้คำสั่ง Wipe ที่มีอยู่ใน Microsoft Intune สั่งลบข้อมูลบนอุปกรณ์เกือบ 80,000 เครื่องของ Stryker ซึ่งเป็นบริษัทเทคโนโลยีการแพทย์รายใหญ่ของสหรัฐฯ โดยแฮกเกอร์เข้าถึงระบบผ่านบัญชี Global Administrator ใหม่ที่สร้างขึ้นหลังจากเจาะบัญชีผู้ดูแลระบบได้สำเร็จ

หลังเกิดเหตุ Microsoft ได้เผยแพร่แนวทาง Hardening สำหรับ Intune และ CISA ได้ออกคำเตือนให้ทุกองค์กรในสหรัฐฯ นำแนวทางดังกล่าวไปปรับใช้ คำแนะนำหลักประกอบด้วยการใช้หลัก Least-privilege สำหรับ Admin Role โดยกำหนดสิทธิ์เท่าที่จำเป็นผ่าน Role-based Access Control (RBAC) ของ Intune การบังคับใช้ MFA และ Privileged-access Hygiene ผ่านฟีเจอร์ของ Microsoft Entra ID เช่น Conditional Access และ Risk Signals รวมถึงการเปิดใช้ Multi-admin Approval สำหรับการดำเนินการที่สำคัญ เช่น การ Wipe อุปกรณ์ การอัปเดตแอปพลิเคชัน และการแก้ไข RBAC

คำแนะนำเหล่านี้ไม่ได้จำกัดเฉพาะ Microsoft Intune เท่านั้น แต่ยังใช้ได้กับ Endpoint Management Software อื่นๆ ด้วย กลุ่ม Handala ที่อ้างความรับผิดชอบในเหตุการณ์นี้เริ่มปฏิบัติการตั้งแต่เดือนธันวาคม 2023 โดยเน้นโจมตีองค์กรอิสราเอลด้วย Wiper Malware ทั้งบน Windows และ Linux และถูกเชื่อมโยงกับหน่วยข่าวกรองของอิหร่าน (MOIS) ผู้ดูแลระบบควรตรวจสอบการตั้งค่า Endpoint Management ขององค์กรและเร่งดำเนินการตามคำแนะนำของ CISA โดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/cisa-warns-businesses-to-secure-microsoft-intune-systems-after-stryker-breach/