- Microsoft отново е в центъра на огромен високорисков скандал.
- Бивш анализатор по сигурността реши да разкрие технологичния гигант.
- Office 365 умишлено хоства зловреден софтуер от години.
- Това всъщност може да бъде огромен хит за компанията Редмънд.
Дръжте се за местата си и дръжте ръцете си вътре в каретата през цялото време, защото това пътуване е на път да стане неравно.
Британски технически изследовател, който напусна работа като анализатор на заплахи за сигурността в Microsoft след няколко месеца обратно, призова бившия си работодател да действа бързо и да премахне връзките към ransomware на своя Office365 платформа.
Обзалагам се, че не сте забелязали това, нали?
Бивш служител на Microsoft разкрива схема за рансъмуер
В туит, изпратен в петък, Бомонт каза, че Microsoft не може да се рекламира като лидер по сигурността с 8000 сигурност служители и трилиони сигнали, ако не могат да предотвратят директното използване на собствената им платформа Office365 за стартиране на Conti ransomware.
Преди да пристигне влакът от служители на MS, които казват „просто докладвайте“, опитайте сами да свалите тях и бъдещите. Направих. Беше катастрофа.
Вижте средното време за реакция на Microsoft (за сигнали за злоупотреби). Те са най-добрият хостер на зловреден софтуер в света от около десетилетие, благодарение на O365. pic.twitter.com/95Riv0kmDg
— Кевин Бомонт (@GossiTheDog) 15 октомври 2021 г
Той, разбира се, отговаряше на туит от специалист по инфосек, използвайки дръжката TheAnalyst.
Всички сте чели как #BazarLoader#BazaLoader води до #рансъмуер, в частност #conti това не се интересува, че те са насочени към здравеопазване и т.н.? Прави @Microsoft имат ли някаква отговорност за това, когато СЪЗНАТЕЛСТВО хостват стотици файлове, водещи до това, вече повече от три дни? https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W
— TheAnalyst (@ffforward) 15 октомври 2021 г
Според охранителната компания Palo Alto Networks, BazarLoader (понякога наричан BazaLoader) е зловреден софтуер, който осигурява бекдор достъп до заразен хост на Windows.
След като клиентът е заразен, престъпниците използват този бекдор достъп, за да изпращат последващ злонамерен софтуер, да сканират околната среда и да експлоатират други уязвими хостове в мрежата.
Преобладаващото мнозинство от ransomware атакува само Windows, като анализ на персонала на притежаваната от Google база данни VirusTotal миналия четвъртък показа, че 95% от 80 милиона проби са анализирани.
VirusTotal е сайт, където изследователите по сигурността могат да изпращат всеки ransomware, който намерят, и да го сканират от антивирусни двигатели, за да видят дали може да бъде идентифициран.
Бомонт, който има добре спечелена репутация на изследовател, който бързо признава грешки в собствената си индустрия, призна, че други технологични компании също играят голяма роля в хостването на зловреден софтуер.
Той също така каза, че в отговорите на Microsoft има някой, който казва, че когато нещата бъдат открити от Defender, те автоматично се премахват в OneDrive.
Това категорично не е вярно, тази функционалност я няма. Microsoft трябва да разгледа този проблем дълго и сериозно.
Ето. Нека видим колко време отнема на MS, за да премахне тези 867 злонамерени сайтове. Стискам палци 🤞
За протокола, най-старият активен сайт за злонамерен софтуер на възраст 19 месеца се хоства на Sharepoint и обслужва GuLoader:
👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4
— abuse.ch (@abuse_ch) 16 октомври 2021 г
Bazarloader се е преместил от Google Drive в OneDrive, според тези скорошни твърдения.
Съдържанието им беше свалено от Google Drive почти мигновено, защото ние, Microsoft, го съобщихме на Google. Той все още е онлайн, дни по-късно, в OneDrive, въпреки че е докладван, защото Microsoft го бърка. Оправи го.
Попитан от Лий Холмс, главният архитект по сигурността на Azure Security, дали е докладвал това на Microsoft, Бомонт каза, че швейцарският изследовател е направил това.
Трябваше да изпратя списък с неща до CERT, да не стигна до никъде, да изпратя до DSRE, да не стигна до никъде, cc в мениджърите и т.н. O365 има https://abuse.ch сваляния, чакащи месеци.
Бомонт добави, че отношението на Microsoft към наличието на зловреден софтуер на платформата му Office365 е било такова от години.
@ffforward Ти докладвал ли си за тези? Има обширни системи за справяне със злонамерено съдържание (включително API за докладване на злоупотреби)https://t.co/cSRbLEiLKn
— Лий Холмс (@Lee_Holmes) 15 октомври 2021 г
Това обаче не е изключителен проблем на Microsoft, нито нов проблем, тъй като в миналото сме виждали зловреден софтуер, хостван на други платформи.
Според изследване на Университета за приложни науки в Берн в момента Google и Cloudflare са сред най-добрите онлайн мрежи за хостинг на зловреден софтуер.
Като такава, цялата технологична индустрия трябва да бъде по-добра в намирането на злонамерено съдържание, хоствано на нейните сървъри, преди да търси другаде за проблеми.
Във всеки случай, да се надяваме, че този инцидент ще накара Microsoft към решителни действия, които могат да помогнат за защитата на милиони хора и хиляди организации от изтощителни атаки на зловреден софтуер.
Какво е вашето мнение за цялата тази ситуация? Споделете вашето мнение с нас в секцията за коментари по-долу.
