【安全资讯】CISA警告美国组织加强Microsoft Intune安全配置，以应对伊朗黑客组织攻击

概要：

近日，美国网络安全和基础设施安全局（CISA）发布紧急警报，敦促所有美国组织立即加固其Microsoft Intune端点管理系统配置。此次警报源于2026年3月11日针对美国医疗技术巨头Stryker Corporation的一次严重网络攻击。攻击由与伊朗有关的黑客组织Handala发起，他们不仅窃取了海量数据，更利用Intune的内置命令远程清除了近8万台设备，凸显了云端管理工具被滥用的巨大风险。

主要内容：

此次攻击的核心在于攻击者成功入侵了一个管理员账户，并利用该权限创建了新的全局管理员账户。通过这个高权限账户，攻击者直接利用了Microsoft Intune云端点管理工具中内置的“擦除”命令，对Stryker公司管理的近8万台设备执行了批量擦除操作，整个过程无需部署额外的恶意软件。这暴露了过度依赖“可信管理员”模式以及权限管理不当的致命缺陷。

Handala黑客组织（亦称Handala Hack Team、Hatef、Hamsa）声称对此次攻击负责。该组织自2023年底开始活跃，最初主要针对以色列组织部署数据擦除恶意软件，并与伊朗情报和安全部（MOIS）存在关联。其攻击手法已从单纯的破坏性攻击，演变为结合数据窃取、泄露和利用合法管理工具进行大规模破坏的复合型攻击。

为防范类似攻击，CISA与微软强烈建议组织采取最低权限原则，通过Intune基于角色的访问控制（RBAC）严格限制管理员权限。同时，必须强制执行多因素认证（MFA）和特权访问管理，利用Microsoft Entra ID的条件访问、风险信号等功能，并对设备擦除、RBAC修改等敏感操作设置多管理员审批机制。这些措施旨在构建“默认安全”的管理架构，而非单纯信任管理员身份。

此次事件对Stryker公司的运营造成了严重干扰，导致系统大规模离线。它不仅警示了医疗科技行业，也为所有依赖云端统一端点管理（UEM）解决方案的组织敲响了警钟。攻击表明，管理工具本身若配置不当，可能成为攻击者扩大战果、造成灾难性影响的杠杆点。