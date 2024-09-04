Segurança

Entrando em sintonia com a empresa: detectando movimentos laterais via Intune

Publicado 04/09/2024
Mão de um homem usando notebook para hackear ou roubar dados à noite em escritório. Conceito de hacking

Autor

Brett Hawkins

Adversary Simulation

IBM X-Force Red

As organizações continuam implementando serviços baseados na nuvem, uma mudança que levou à adoção mais ampla de ambientes de identidade híbridos que conectam o Active Directory local ao Microsoft Entra ID (antigo Azure AD). Para gerenciar dispositivos nesses ambientes de identidade híbridos, o Microsoft Intune (Intune) surgiu como uma das soluções de gerenciamento de dispositivos mais populares. Como essa plataforma empresarial confiável pode ser facilmente integrada a dispositivos e serviços Active Directory locais, ela se torna um alvo privilegiado para ataques que visam explorar vulnerabilidades como movimentação lateral e execução de código.

Esta pesquisa dará uma visão geral sobre o Intune, como ele está sendo utilizado nas organizações e mostrará como utilizar essa plataforma baseada na nuvem para implementar aplicações personalizadas do Windows e obter a execução de código nos dispositivos do usuário. Além disso, esta pesquisa inclui a divulgação pública de novas regras do Microsoft Sentinel para ajudar os profissionais de segurança a detectar o uso do Intune para movimentação lateral e orientações de reforço de segurança para a plataforma Intune.

Background

Trabalhos anteriores

Exploração de implementação de scripts do PowerShell usando o Intune

Andy Robbins escreveu um excelente artigo em seu blog em 2020 intitulado "Death from Above: Lateral Movement from Azure to On-Prem AD", que aborda como explorar o Intune para implementar um script do PowerShell direcionado a hosts, além de fornecer orientações defensivas para proteção contra esse cenário de ataque. Nossa pesquisa X-Force se baseia na pesquisa de Robbins, mostrando como realizar a execução de código direcionado com o uso de aplicações Windows e como realizar acionamento ad hoc para que os hosts do Windows baixem e executem essas aplicações. Esta pesquisa também inclui regras recém-criadas do Microsoft Sentinel para detectar o uso indevido do Intune para facilitar a movimentação lateral e o aprimoramento das diretrizes para a plataforma Intune.

Maestro – explorando o Intune para movimento lateral via C2

Chris Thompson lançou uma ferramenta chamada Maestro no DEF CON 32 Demo Labs, que pode ser usada para realizar reconhecimento de usuários e dispositivos via Intune, além de executar comandos por meio de scripts do PowerShell do Intune ou aplicação do Windows a partir de um framework C2. Não deixe de conferir essa ferramenta e a pesquisa do Chris! A pesquisa da X-Force a seguir é diferente, pois mostra como conduzir essa atividade de movimento lateral por meio da interface web do Microsoft Intune e como empacotar vários arquivos para serem implementados como parte de uma aplicação personalizada do Windows para execução de código. Além disso, esta pesquisa da X-Force inclui mais formas de acionar scripts PowerShell do Intune e aplicações do Windows para executar, além do lançamento da lógica de regras de detecção do Sentinel para detectar movimento lateral que explora o Intune.

Ambientes de identidade híbridos

Muitas empresas começaram a adotar um ambiente de identidade híbrido, o que significa a conexão de um ambiente Active Directory local com o Microsoft Entra ID (antigo Azure AD). Isso possibilita que as organizações sejam mais flexíveis e eficientes, o que inclui um melhor gerenciamento dos dispositivos dos usuários e do acesso às aplicações baseadas na nuvem. Especificamente, quando os dispositivos são associados de forma híbrida, eles ficam visíveis e podem ser gerenciados tanto no Active Directory local quanto no Microsoft Entra ID. Devido a essa configuração, a integração de soluções de gerenciamento de dispositivos baseadas na nuvem pode facilitar a movimentação lateral para dispositivos locais, como estações de trabalho de usuários que estão em um ambiente híbrido.

Microsoft Intune

O Microsoft Intune é uma solução de gerenciamento de dispositivos baseada na nuvem que pode ser usada para gerenciar a configuração de dispositivos conectados ao Azure, como dispositivos híbridos. As seções a seguir destacam como o Intune pode ser usado e gerenciado pelas organizações.

Soluções de gerenciamento de dispositivos

A Microsoft oferece várias soluções para gerenciar dispositivos em uma empresa. Algumas dessas soluções estão listadas abaixo:

  • Stack do Azure
  • Central de administração do Windows
  • SCCM (gerenciador de configuração)
  • Azure Arc
  • Microsoft Intune

Casos de uso do Microsoft Intune

Os principais casos de uso estratégico para que as organizações utilizem o Microsoft Intune são:

  • Gerenciamento de correção
  • Permitir acesso seguro ao Office 365 a partir de dispositivos pessoais
  • Habilitar um programa Bring Your Own Device (BYOD)
  • Gerenciamento de configuração de dispositivos
  • Capacidade de gerenciar múltiplas plataformas (Windows, macOS, Linux)

Acesso baseado em funções do Microsoft Intune

A Microsoft fornece documentação detalhada sobre as diferentes funções disponíveis no Intune, juntamente com os privilégios de cada uma. As duas funções privilegiadas dentro do Intune que permitem a criação de scripts PowerShell ou aplicações Windows são Global Administrator e Intune Service Administrator (também conhecido como Intune Administrator).

Scripts e aplicações que podem ser implementados com o Microsoft Intune

Há várias opções para realizar a execução de código em hosts Windows por meio do Microsoft Intune. Os scripts do PowerShell podem ser implementados para permitir a execução de código por meio da execução direta de comandos dentro do script. Outros tipos de execução de código em dispositivos Windows incluem a implementação de aplicações. Abaixo, listamos alguns dos tipos de aplicações mais comuns:

  • Aplicativos Line of Business (LOB) - podem ser um arquivo MSI (Microsoft Software Installer) ou um pacote de aplicativos seguro (.appx, .appxbundle)
  • Aplicativo do Windows (Win32) – este é um arquivo .intunewin, um formato compactado que contém os arquivos de aplicações necessários

Arquivos de log do Microsoft Intune

Os arquivos de log são escritos pela Intune Management Extension em C:\ProgramData\Microsoft\IntuneManagementExtension\Logs. Esses registros podem ser úteis para verificar quando um dispositivo se comunicou com o Intune e se algum script do PowerShell ou aplicação do Windows foi executado.

Quando o Intune executa um script do PowerShell, ele cria uma cópia temporária do script em disco em C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Scripts e, em seguida, armazena os resultados do script em C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Results. Depois que o script é concluído, o script temporário e os resultados serão removidos.

Quando o Intune executa uma aplicação do Windows, a aplicação é implementada e executada a partir de C:\Windows\IMECache\[UNIQUE_GUID]. Após a conclusão da execução da aplicação, o diretório é removido.

Técnicas comuns de execução de movimentos laterais

Existem várias técnicas de movimento lateral bem conhecidas por fornecedores de produtos de segurança e profissionais de segurança defensiva, que têm documentação disponível no MITRE ATT&CK Framework. Essas técnicas de movimento lateral do Windows aproveitam principalmente protocolos e serviços administrativos que podem executar programas ou scripts. Algumas das técnicas comuns de movimento lateral usadas por agentes da ameaça e profissionais de segurança ofensivos incluem o uso do Windows Management Instrumentation (WMI), tarefas agendadas, serviços e distributed component object model (DCOM) para executar programas ou scripts. Do ponto de vista da segurança operacional, encontrar uma técnica exclusiva que possa executar scripts e programas a partir de um software confiável é fundamental. Essas técnicas podem se misturar às atividades típicas da empresa e podem ser ignoradas pelas equipes de segurança defensiva.

Casos de uso ofensivos para o Microsoft Intune

Se você tiver comprometido um usuário do Azure com as permissões apropriadas, conforme mostrado na seção Acesso baseado em função do Microsoft Intune , poderá executar código em qualquer host Windows que tenha o agente do Intune instalado, implementando scripts do PowerShell ou um aplicação Windows. Isso pode ser usado como um gatilho de execução de movimento lateral discreto e exclusivo, originado de um software empresarial confiável.

O cenário mostrado na seção a seguir pressupõe a obtenção de acesso privilegiado no centro de administração do Intune. Além disso, como parte deste cenário, o objetivo é obter acesso interativo de comando e controle (C2) por meio de um Cobalt Strike beacon em um host de destino enquanto usa o Intune como um gatilho de execução de movimento lateral.

Segmentação de usuários e hosts

O Intune utiliza os Entra ID groups para controlar onde os scripts ou aplicações são executados. Portanto, se um host ou grupo de hosts que você está visando ainda não for membro de um grupo, você precisará criar um para eles, a fim de controlar onde seu script ou aplicação será executado. Normalmente, em ambientes de identidade híbridos, você pode visualizar os dispositivos associados de um usuário no Entra ID. Isso permitirá que você faça uma lista de hosts de destino. Essas informações também podem ser recuperadas usando ferramentas e scripts automatizados, como o ROADtools.

Se você precisar criar um novo grupo no Microsoft Entra ID para atribuir os hosts alvos, selecione "Groups" > "New Group" no centro de administração do Intune.

Captura de tela mostrando como criar um novo grupo no centro de administração do Microsoft Intune
Figura 1: Criação de um novo grupo

Você pode optar por selecionar hosts ou usuários de destino, conforme mostrado nas respectivas capturas de tela abaixo. Nesse caso, estamos criando um grupo para direcionar o host WIN-8675309.

Captura de tela mostrando como adicionar o dispositivo de destino a um grupo no Microsoft Intune
Figura 2: adicionando dispositivo de destino a um grupo
Captura de tela mostrando como adicionar um usuário de destino a um grupo no Microsoft Intune
Figura 3: adicionando usuário de destino a um grupo

Um resumo do seu grupo será exibido e, em seguida, você poderá criá-lo.

Captura de tela do resumo de um grupo a ser criado no Microsoft Intune
Figura 4: resumo do grupo a ser criado

Acionamento ad-hoc

Há várias maneiras de realizar o acionamento ad-hoc imediato do seu script do PowerShell implementado ou aplicação do Windows a partir do Intune. Isso inclui:

Como alternativa, você pode aguardar até que o dispositivo reinicie automaticamente ou até que o agente Intune do host verifique com o Intune a existência de novos scripts do PowerShell ou aplicações do Windows.

Implementação de uma aplicação do Windows

Implementar uma aplicação do Windows em vez de um script do PowerShell é um método alternativo para realizar a execução de código. Esse método é mais flexível, pois permite o empacotamento de vários arquivos que são implementados e executados em um host de destino pelo agente do Intune. Isso é benéfico do ponto de vista do invasor para a implementação de carga útil, como a implementação de uma carga útil por sideloading de DLL que requer múltiplos arquivos. O processo de implementação de uma carga útil por sideload de DLL Dism.exe via aplicação Intune do Windows será detalhada a seguir.

Use o Win32 Content Prep Tool da Microsoft para empacotar os arquivos de carga útil no arquivo .intunewin. É um formato de arquivo compactado que permite a implementação segura de uma aplicação. Detalhes sobre como esse pacote funciona podem ser encontrados nessa postagem do blog . Neste exemplo, temos um diretório que contém um arquivo executável e um arquivo DLL. Usamos a ferramenta Win32 Content Prep Tool para empacotar esses arquivos em um arquivo .intunewin.

Captura de tela do código para o arquivo .intunewin
Captura de tela do código usado para criar o arquivo intunewin compactado
Figura 5: criação de arquivo compactado intunewin

O arquivo de saída.intunewin será gravado no diretório de saída que você especificou. Neste caso, empacotamos o Dism.exe e DismCore.dll no arquivo Dism.intunewin.

Captura de tela ampliada do código para um arquivo de saída
Figura 6: arquivo de saída

Agora que você criou o pacote de aplicação do Windows, pode prosseguir com a implementação. No centro de administração do Intune, navegue até “Apps” > “Windows apps” > “Add”.

Captura de tela mostrando como adicionar um aplicativo do Windows ao Microsoft Intune
Figura 7: adicionar aplicação

Selecione "Windows app (Win32)" no menu suspenso:

Captura de tela mostrando como escolher o aplicativo do Windows
Figura 8: escolher o aplicativo do Windows

Faça upload do arquivo .intunewin criado anteriormente e preencha as informações da sua aplicação.

Captura de tela sobre como preencher as informações do aplicativo depois de adicionados ao Microsoft Intune
Figura 9: preenchimento de informações do aplicativo

Em seguida, adicione um comando de instalação , que, neste caso, será o executável (Dism.exe) . Para o comando de desinstalação , você pode digitar qualquer coisa. Além disso, estamos optando por executar esta aplicação como "System" e, para o comportamento de reinicialização do dispositivo, selecionamos "No specific action". Ao escolher "System", isso significa que ele será executado como a conta NT AUTHORITY\SYSTEM.

Captura de tela destacando como preencher as informações do programa
Figura 10: preenchimento das informações do programa

As regras de detecção são usadas para evitar a instalação de uma aplicação quando ela já existe. Portanto, se o resultado de uma regra de detecção for bem-sucedido, nenhuma aplicação será instalada. Como queremos que nossa aplicação seja executada de qualquer maneira, nesse caso, enviamos um script do PowerShell que tenta executar um binário inexistente. Dessa forma, o script de detecção sempre falhará, o que significa que a aplicação não está presente e a instalação vai continuar.

Captura de tela mostrando como adicionar regras de detecção
Figura 11: adição de regras de detecção

Ignore as seções "Dependencies" e "Supersedence" e adicione o grupo com os hosts de destino na seção "Assignments":

Captura de tela mostrando como adicionar atribuições de grupo
Figura 12: adicionar atribuições de grupo

Depois de criar a aplicação do Windows, você a verá no centro de administração do Intune e a coluna "Assigned" deverá exibir "Yes". Isso significa que a aplicação do Windows foi atribuída aos grupos que você especificou e está esperando para ser implementada e executada.

Captura de tela mostrando que o aplicativo está atribuído e o processo está concluído
Figura 13: mostrando que o aplicativo está atribuído

Para executar o acionamento ad-hoc do agente Intune no host de destino, reiniciaremos o serviço "IntuneManagementExtension". Pode levar até cinco minutos após a reinicialização do serviço para o host de destino baixar e executar a aplicação do Windows pelo Intune. Se o host de destino não tiver baixado e executado sua aplicação do Windows após cinco minutos, talvez seja necessário reiniciar o serviço. Outros métodos para realizar o acionamento ad-hoc estão na seção Acionamento ad-Hoc.

Captura de tela do código para reiniciar o serviço IntuneManagementExtension
Figura 14: reiniciando o serviço IntuneManagementExtension

Após o serviço ser reiniciado, você pode monitorar o AgentExecutor.log e o IntuneManagementExtension.log no diretório C:\ProgramData\Microsoft\IntuneManagementExtension\Logs no host de destino. Assim que a data da última modificação for registrada no arquivo AgentExecutor.log. o arquivo foi atualizado, o agente do Intune deve ter baixado e executado a aplicação do Windows. Além disso, você pode monitorar o diretório C:\Windows\IMECache para ver quando os arquivos da aplicação forem baixados. Haverá uma subpasta criada com um GUID exclusivo.

Neste ponto, a aplicação do Windows foi implementada e executada, e obtivemos um beacon do Cobalt Strike no host de destino WIN-8675309.

gráfico mostrando que o aplicativo Windows foi implementado e executado e que um beacon Cobalt Strike foi obtido
Figura 15: obtenção de beacon

Detecção e prevenção de atividades de movimento lateral no Intune

Nesta seção, serão apresentadas diversas considerações defensivas para aumentar a segurança da configuração e os recursos de detecção do Intune contra os cenários de ataque descritos nesta pesquisa.

Configurar o registro de auditoria do Intune

Para criar regras de detecção ou caça a ameaças para atividades de movimentação lateral que exploram o Intune, primeiro você precisa habilitar o registro de auditoria. No centro de administração do Intune, selecione “Tenant administration” > “Diagnostic settings” > “Add diagnostic setting”:

Captura de tela mostrando como adicionar configurações de diagnóstico no Microsoft Intune
Figura 16: adicionando configuração de diagnóstico

Selecione "AuditLogs" e "OperationalLogs" e, em seguida, opte por enviar seus logs para o Log Analytics workspace:

Captura de tela de como habilitar logs de auditoria nas configurações de diagnóstico do Microsoft Intune
Figura 17: habilitar registros de auditoria

Você vai ver os esquemas IntuneAuditLogs e IntuneOperationalLogs começarem a ser preenchidos no Log Analytics Workspace.

Captura de tela de esquemas disponíveis no Log Analytics Workspace no Microsoft Intune
Figura 18: mostrando esquemas disponíveis no Log Analytics Workspace

Depois de começar a receber logs do Intune em seu espaço de trabalho Log Analytics, você pode usar esse espaço de trabalho em uma instância do Microsoft Sentinel para começar a criar regras de análise e caça a ameaças, que serão descritas na seção a seguir.

Novas regras do Microsoft Sentinel

No momento, não há regras de análise publicamente disponíveis para o Microsoft Sentinel detectar os cenários de ataque do Intune descritos nesta pesquisa. Portanto, as seções abaixo fornecem diversos trechos de lógica de regras que podem ser aplicados como regras analíticas agendadas no Microsoft Sentinel para os seguintes cenários de ataque no Intune:

  • Script do PowerShell criado pelo usuário ou aplicação do Windows
  • Script do PowerShell criado e excluído pelo usuário
  • Aplicação Windows criado e excluído pelo usuário
  • Script do PowerShell ou aplicação do Windows criado pelo usuário e que forçou a reinicialização do dispositivo
  • Script do PowerShell criado pelo usuário ou aplicação do Windows e forçou uma sincronização de dispositivo

Para cada uma dessas regras analíticas, recomenda-se realizar testes e ajustes adequados em seu ambiente. As consultas KQL destacadas abaixo podem ser copiadas e coladas a partir desse repositório KQL-Queries.

Script do PowerShell criado pelo usuário ou aplicação do Windows

A lógica da regra vinculada abaixo emitirá um alerta sempre que um usuário criar um script do PowerShell ou uma aplicação do Windows para implementação.

CreatedPSScriptOrWindowsApp.kql

Um exemplo dessa regra sendo acionada no Microsoft Sentinel é mostrado na captura de tela abaixo.

Captura de tela de exemplo de acionamento de regra no Microsoft Sentinel
Figura 19: acionamento de alertas
Captura de tela dos detalhes do evento para o alerta
Figura 20: detalhes do evento para alerta

Script do PowerShell criado e excluído pelo usuário

A lógica de regra vinculada abaixo retorna todos os usuários que criaram e excluíram um script do PowerShell em até 24 horas. Isso pode ser uma evidência de um invasor tentando encobrir seus rastros após implementar um script em PowerShell.

CreatedAndDeletedPSScript.kql

Um exemplo deste acionamento de regra no Microsoft Sentinel é mostrado nas capturas de tela abaixo:

exemplo de acionamento de regra de script do PowerShell criado e excluído no Microsoft Sentinel
Figura 21: acionamento de alerta
Captura de tela dos detalhes do evento para gatilho/alerta de script do PowerShell criado e excluído
Figura 22: detalhes do evento

Aplicação Windows criado e excluído pelo usuário

A lógica de regra vinculada abaixo retorna todos os usuários que criaram e excluíram uma aplicação do Windows em 24 horas. Isso pode ser uma evidência de que um invasor está tentando cobrir seus rastros após implementar uma aplicação do Windows.

CreatedAndDeletedWindowsApp.kql

Um exemplo deste acionamento de regra no Microsoft Sentinel é mostrado nas capturas de tela abaixo:

Captura de tela do alerta que aciona a criação e a exclusão de um aplicativo do Windows no Microsoft Sentinel
Figura 23: acionamento de alerta
Captura de tela dos detalhes do evento para o alerta de criação/exclusão de aplicativos do Windows Figura 24: detalhes do evento

Script do PowerShell ou aplicação do Windows criado pelo usuário e que forçou a reinicialização do dispositivo

A lógica da regra vinculada abaixo retorna todos os usuários que criaram um script do PowerShell ou uma aplicação do Windows e também reinicializaram o dispositivo em 24 horas.

CreatedPSScriptOrWindowsAppForcedRestart.kql

Um exemplo deste acionamento de regra no Microsoft Sentinel é mostrado nas capturas de tela abaixo:

Captura de tela do alerta de que um usuário criou um script do PowerShell ou um aplicação do Windows e também reiniciou o dispositivo nas últimas 24 horas Figura 25: acionamento de alertas
Captura de tela dos detalhes do evento para o alerta acima
Figura 26: detalhes do evento

Script do PowerShell criado pelo usuário ou aplicação do Windows e forçou uma sincronização de dispositivo

A lógica da regra abaixo retorna todos os usuários que criaram um script do PowerShell ou aplicação do Windows e também realizaram uma sincronização de dispositivo dentro de 24 horas.

CreatedPSScriptOrWindowsAppForcedSync.kql

Um exemplo deste acionamento de regra no Microsoft Sentinel é mostrado nas capturas de tela abaixo:

exemplo de alerta para usuários que criaram um script do PowerShell ou uma aplicação do Windows e também executaram uma sincronização de dispositivo nas últimas 24 horas
Figura 27: acionamento de alerta
Captura de tela dos detalhes do evento para o alerta acima
Figura 28: detalhes do evento

Configure a aprovação do administrador para implementação de script ou aplicativo

As políticas de aprovação podem ser criadas de modo que um membro de um grupo específico seja obrigado a aprovar qualquer nova implementação de script ou aplicação. A aplicação dessas políticas em conjunto com as regras de detecção descritas anteriormente pode reforçar bastante a postura de segurança da instância do Intune.

Aprovação de scripts

Navegue até "Tenant administration" > "Multi Admin Approval" > "Access policies" > "Create".

Captura de tela mostrando como criar uma política de acesso no Microsoft Intune
Figura 29: criação de política de acesso

Preencha as informações necessárias, como o nome da política de acesso, a descrição e o tipo de perfil. Para o tipo de perfil, selecione "Script".

Captura de tela mostrando como preencher as informações da política de acesso Figura 30: preenchimento de informações da política de acesso

Adicione um grupo ou vários grupos que serão responsáveis por aprovar novas implementações de script.

Captura de tela mostrando como adicionar um grupo de aprovação a uma política de acesso
Figura 31: adição de grupo de aprovação

Depois de criar sua política, você a verá preenchida na guia "Access policies".

Captura de tela da política criada e concluída
Figura 32: visualização da política criada

Agora que a política foi aplicada, quando um usuário tentar criar um novo script, receberá a mensagem abaixo. Após o envio da solicitação com a devida justificativa comercial, um aprovador de um grupo específico precisará autorizar a implementação do script.

exemplo de mensagem que os usuários verão ao tentar enviar um novo script, ele vai para um grupo especificado para aprovação
Figura 33: enviando o script para aprovação

Aprovação de aplicações

As mesmas etapas descritas anteriormente também podem ser executadas para exigir aprovação para a implementação de qualquer aplicação. Certifique-se de escolher "App" no menu Profile type ao criar a política de acesso.

Captura de tela mostrando que as mesmas etapas descritas anteriormente podem ser executadas para exigir aprovação para implementação de qualquer aplicação
Figura 34: criação da política de acesso à aplicação

Você pode ver um resumo da nossa política que criamos, que inclui o tipo de perfil “App”.

Captura de tela do resumo da política de acesso à aplicação
Figura 35: resumo da política de acesso à aplicação

Agora que a política é aplicada quando um usuário tenta criar uma nova aplicação, ele receberá a mensagem abaixo. Após o envio da solicitação com a devida justificativa comercial, um aprovador de um grupo específico precisará aprovar antes que a aplicação seja implementada.

Captura de tela da mensagem recebida quando os usuários tentam criar um novo aplicativo
Figura 36: envio da aplicação para aprovação

Melhores práticas do Microsoft Entra ID

A Microsoft possui um guia de melhores práticas para o Microsoft Entra ID que destaca orientações detalhadas sobre como proteger a configuração do seu Microsoft Entra ID. Algumas das recomendações mais importantes relacionadas à exploração de funções privilegiadas no Microsoft Intune são:

  • Habilitar a autenticação multifator (MFA) para funções privilegiadas do Azure
  • Avaliar o acesso privilegiado do Azure regularmente
  • Contas exclusivas da nuvem devem ser usadas para funções privilegiadas do Azure

Conclusão

A adoção de arquiteturas de identidade híbrida e o uso de serviços baseados na nuvem continuam aumentando. As organizações dependem desses serviços baseados na nuvem para gerenciar sua infraestrutura corporativa, que inclui o gerenciamento de endpoints do usuário e dispositivos pessoais que se conectam ao Office 365 e a outros serviços. Dessa forma, a capacidade de detectar adequadamente o uso indevido de serviços baseados na nuvem, como o Microsoft Intune, tornou-se mais crítico do que nunca. O objetivo da X-Force é destacar e inspirar mais pesquisas sobre a defesa de outros serviços críticos de negócios baseados na nuvem que podem ser explorados por agente da ameaça para movimento lateral e execução de código.

Agradecimentos

Um agradecimento especial às pessoas abaixo por darem feedback sobre esta pesquisa e por fornecerem avaliações do post de blog:
