De Amerikaanse overheid waarschuwt bedrijven om hun Microsoft Intune-beheeromgevingen beter te beveiligen na een cyberaanval op medisch technologiebedrijf Stryker. Daarbij werd misbruik gemaakt van endpoint managementsoftware.
De melding van de Amerikaanse cybersecuritydienst CISA onderstreept hoe aantrekkelijk endpoint managementsystemen zijn geworden voor aanvallers. Aanleiding is een cyberaanval op het Amerikaanse medisch technologiebedrijf Stryker, waarbij de Microsoft-omgeving van het bedrijf werd geraakt. Volgens CISA maakten de aanvallers misbruik van legitieme beheertools, wat de aanval moeilijk detecteerbaar maakte en de impact aanzienlijk vergrootte.
De aanval had bovendien directe gevolgen voor de bedrijfsvoering van Stryker. Delen van het netwerk gingen offline, wat niet alleen de logistiek verstoorde, maar ook leidde tot vertragingen in medische ingrepen. Daarmee wordt duidelijk dat aanvallen op IT-beheersystemen allang niet meer beperkt blijven tot digitale schade, maar ook fysieke processen kunnen raken, zeker in sectoren als de gezondheidszorg.
Vanuit Microsoft-perspectief is vooral de gebruikte aanvalsmethode relevant. De aanvallers zouden toegang hebben gekregen tot de Intune-omgeving van Stryker en daar nieuwe administratieve accounts hebben aangemaakt. Daarmee konden zij feitelijk de controle over systemen en toegangsniveaus binnen de organisatie overnemen. Deze werkwijze past binnen een bredere trend waarbij aanvallers zich niet richten op kwetsbaarheden in software, maar op identity en toegangsbeheer als primaire aanvalsvector.
Hoewel de waarschuwing van CISA formeel betrekking heeft op endpoint managementsystemen in brede zin, staat Microsoft Intune centraal vanwege de rol die het speelde bij de aanval op Stryker en het brede gebruik binnen enterprise-omgevingen. Toegang tot dergelijke platforms vertaalt zich in veel gevallen direct naar controle over apparaten, gebruikers en bedrijfsdata.
Beveiligingsrichtlijnen van Microsoft centraal in CISA-advies
CISA verwijst in zijn advies expliciet naar Microsofts eigen richtlijnen voor het beveiligen van Intune-omgevingen. Daarmee positioneert Microsoft zich nadrukkelijk als zowel onderdeel van de infrastructuur als van de oplossing. De nadruk ligt op het beperken van rechten, het afdwingen van sterke authenticatie en het toevoegen van extra controlemechanismen rond gevoelige acties. Deze aanpak sluit aan bij Microsofts Zero Trust-strategie, waarin geen enkele gebruiker of handeling standaard wordt vertrouwd.
De rol van Entra ID wordt in dit geheel steeds belangrijker. Functionaliteiten zoals Conditional Access en risicogebaseerde toegangscontrole maken het mogelijk om afwijkend gedrag te detecteren en toegang dynamisch te beperken. In theorie kan dit voorkomen dat een gecompromitteerd account volledige controle krijgt over een beheeromgeving. In de praktijk blijkt echter dat de effectiviteit van deze maatregelen sterk afhankelijk is van de configuratie en het gebruik binnen organisaties.
Opvallend is ook de nadruk op aanvullende goedkeuringsmechanismen voor kritieke acties binnen Intune. Het vereisen van meerdere beheerders voor ingrijpende wijzigingen, zoals het aanpassen van configuraties of het uitvoeren van device wipes, wijst op een verschuiving naar strengere interne controlemodellen. Dit moet voorkomen dat één gecompromitteerd account voldoende is om grootschalige schade aan te richten.
Volgens berichtgeving van Bloomberg claimde de pro-Iraanse groep Handala verantwoordelijkheid voor de aanval. Hoewel dergelijke claims niet altijd onafhankelijk worden bevestigd, past dit binnen een bredere trend waarin geopolitieke spanningen zich ook vertalen naar digitale aanvallen op commerciële organisaties.