Las organizaciones continúan implementando servicios basados en la nube, un cambio que ha llevado a una adopción más amplia de entornos de identidad híbridos que conectan Active Directory on-premises con Microsoft Entra ID (anteriormente Azure AD). Para gestionar dispositivos en estos entornos de identidad híbridos, Microsoft Intune (Intune) se ha convertido en una de las soluciones de gestión de dispositivos más populares. Dado que esta plataforma empresarial de confianza se puede integrar fácilmente con los dispositivos y servicios de Active Directory on-premises, es un objetivo principal para que los atacantes la utilicen indebidamente para realizar movimientos laterales y ejecutar código.

Esta investigación proporcionará información general sobre Intune, cómo se utiliza dentro de las organizaciones y mostrará cómo utilizar esta plataforma basada en la nube para implementar aplicaciones personalizadas de Windows con el fin de lograr la ejecución de código en los dispositivos de los usuarios. Además, esta investigación incluye la publicación de nuevas reglas de Microsoft Sentinel para ayudar a los responsables de la seguridad a detectar el uso de Intune para el movimiento lateral y ofrecer orientación sobre el refuerzo de la defensa de la plataforma Intune.