Um único login foi o suficiente para apagar mais de 200 mil dispositivos corporativos em 79 países e travar a produção da gigante de suprimentos médicos Stryker na semana passada. A ofensiva, atribuída ao grupo pró-Irã Handala, explorou falhas de configuração no Microsoft Intune, a plataforma de gerenciamento unificado de endpoints (UEM) da Microsoft. O estrago fez a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) publicar, nesta segunda-feira (18), uma série de recomendações urgentes para qualquer empresa que utilize soluções de gerenciamento de dispositivos – não apenas o Intune.
Por que esse ataque deve acender o alerta na sua TI
Ferramentas de UEM, como Intune, VMware Workspace ONE ou ManageEngine, rodam com privilégios de administrador para aplicar políticas, instalar softwares e até wipes remotos. Isso as transforma em “chaves do reino”: se um invasor assume o controle, pode propagar scripts maliciosos, desabilitar antivírus e interromper toda a operação em poucos cliques – exatamente o que ocorreu com a Stryker.
Casos anteriores reforçam o padrão: SolarWinds Orion (2020), Kaseya VSA (2021) e a interface de administração do Microsoft Exchange (2021) também foram porta de entrada para ataques em larga escala. O recado é claro: em vez de atacar máquina por máquina, criminosos visam o ponto central de controle.
O que a CISA recomenda na prática
A agência condensou as diretrizes em três pilares. Abaixo, traduzimos o jargão técnico em ações objetivas que seu time pode adotar hoje mesmo:
- Privilégio mínimo na veia. Crie perfis administrativos enxutos. No Intune, use o RBAC (Role-Based Access Control) para limitar quem pode fazer o quê e em quais dispositivos.
- MFA à prova de phishing. Nem todo múltiplo fator é igual. Preferira chaves de hardware FIDO2 ou tokens criptográficos em vez de códigos SMS. No Azure/Entra ID, combine MFA com políticas condicionais e sinais de risco.
- Dupla aprovação para mudanças críticas. Ative o recurso “Multi-Admin Approval” antes de permitir device wipe, alterações em massa de políticas ou resets de senha globais.
Além disso, a CISA referencia guias da própria Microsoft, como “Best practices for securing Microsoft Intune” e “Plan a Privileged Identity Management deployment”, que trazem tutoriais passo a passo.
Seis ações rápidas para reduzir sua superfície de ataque
Reunindo as recomendações da CISA e de especialistas da SANS, Arctic Wolf e DigiCert, chegamos a um checklist express que pode ser aplicado a qualquer solução de endpoint:
Imagem: Howard Solom
- Separe dispositivos pessoais de corporativos. Só inscreva aparelhos pertencentes à empresa no UEM.
- Microsegmentação. Não deixe o servidor de gerenciamento na mesma VLAN que controladores de domínio ou bancos de dados críticos.
- Monitoramento 24×7. Gere alertas para atividades administrativas fora do horário padrão ou originadas de IPs incomuns.
- Logs imutáveis. Armazene registros em repositório WORM ou serviço de SIEM que impeça alterações retroativas.
- Backups de políticas. Mantenha cópia offline das configurações de Intune/Workspace ONE para restaurar rapidamente em caso de sabotagem.
- Teste de recuperação. Simule periodicamente um wipe em massa e meça quanto tempo leva para reconfigurar máquinas essenciais.
Impacto no bolso e na reputação
Segundo a própria Stryker, o ataque de 11 de março “apenas” atrasou pedidos e remessas, mas Handala afirma ter apagado milhares de laptops de funcionários. Mesmo sem ransomware, o custo de parada de linhas de produção, horas extras de TI e reputação abalada pode superar milhões de dólares – fora possíveis multas regulatórias no setor de saúde.
Próximos passos para sua organização
Se sua empresa ainda depende de senhas fracas ou concentra todo o poder em um único administrador global, o ataque à Stryker é o sinal vermelho definitivo. Repasse o checklist ao seu SOC, valide cada item e, principalmente, implemente MFA resistente a phishing e aprovações múltiplas antes que um atacante faça isso por você – mas pelos motivos errados.
No cenário de ameaças atual, a pergunta não é se alguém tentará comprometer seu sistema de gerenciamento de endpoints, mas quando e quão preparado você estará para detectar e reagir em minutos, não dias.
Com informações de Computerworld
