조직들은 계속해서 클라우드 기반 서비스를 구현하고 있으며, 이는 온프레미스 Active Directory와 Microsoft Entra ID(구 Azure AD)를 연결하는 하이브리드 아이덴티티 환경의 광범위한 채택으로 이어졌습니다. 이러한 하이브리드 ID 환경에서 디바이스를 관리하기 위해 가장 널리 사용되는 디바이스 관리 솔루션 중 하나로 Microsoft Intune(Intune)이 부상했습니다. 이 신뢰할 수 있는 엔터프라이즈 플랫폼은 온프레미스 Active Directory 장치 및 서비스와 쉽게 통합할 수 있기 때문에 공격자가 수평 이동 및 코드 실행을 위해 악용할 수 있는 주요 표적이 됩니다.

이 연구에서는 Intune에 대한 배경 지식과 조직 내에서 Intune이 어떻게 사용되고 있는지, 이 클라우드 기반 플랫폼을 사용하여 사용자 지정 Windows 애플리케이션을 배포하여 사용자 디바이스에서 코드를 실행하는 방법을 보여줍니다. 또한 이 연구에는 방어자가 수평 이동을 위한 Intune 사용을 감지하는 데 도움이 되는 새로운 Microsoft Sentinel 규칙과 Intune 플랫폼에 대한 방어 강화 지침이 공개되어 있습니다.