Ο αναλυτής ασφαλείας της Microsoft λέει ότι το Office 365 φιλοξενούσε εν γνώσει του κακόβουλο λογισμικό

Κρατήστε τα καθίσματα σας και κρατήστε τα χέρια σας μέσα στην άμαξα ανά πάσα στιγμή, γιατί αυτή η διαδρομή πρόκειται να γίνει ανώμαλη.

Ένας Βρετανός ερευνητής τεχνολογίας, ο οποίος σταμάτησε να εργάζεται ως αναλυτής απειλών ασφαλείας στη Microsoft για λίγους μήνες πίσω, κάλεσε τον πρώην εργοδότη του να ενεργήσει γρήγορα και να αφαιρέσει συνδέσμους προς ransomware στο Office365 του πλατφόρμα.

Στοίχημα ότι δεν το είδατε να έρχεται, σωστά;

Πρώην υπάλληλος της Microsoft αποκαλύπτει σχέδιο ransomware

Σε ένα tweet που εστάλη την Παρασκευή, ο Beaumont είπε ότι η Microsoft δεν μπορεί να διαφημιστεί ως ηγέτης ασφάλειας με ασφάλεια 8000 εργαζόμενοι και τρισεκατομμύρια σήματα αν δεν μπορούν να αποτρέψουν την απευθείας χρήση της δικής τους πλατφόρμας Office365 για την εκκίνηση του Conti ransomware.

Πριν φτάσει το τρένο των εργαζομένων της MS που λέει «απλώς αναφέρετέ το», προσπαθήστε να κατεβάσετε τους ίδιους και τους μελλοντικούς. το έκανα. Ήταν μια καταστροφή.

Ελέγξτε τον μέσο χρόνο αντίδρασης της Microsoft (για αναφορές κατάχρησης). Είναι ο καλύτερος οικοδεσπότης κακόβουλου λογισμικού στον κόσμο για περίπου μια δεκαετία, λόγω του O365. pic.twitter.com/95Riv0kmDg

— Kevin Beaumont (@GossiTheDog) 15 Οκτωβρίου 2021

Απαντούσε, φυσικά, σε ένα tweet από έναν επαγγελματία της infosec χρησιμοποιώντας τη λαβή TheAnalyst.

Όλοι έχετε διαβάσει πώς #BazarLoader#BazaLoader οδηγεί σε #ransomware, συγκεκριμένα #συνέχεια που δεν τον νοιάζει που στοχεύουν στην υγειονομική περίθαλψη κλπ; Κάνει @Microsoft έχουν καμία ευθύνη σε αυτό όταν ΓΝΩΣΤΙΚΑ φιλοξενούν εκατοντάδες αρχεία που οδηγούν σε αυτό, τώρα για πάνω από τρεις ημέρες; https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W

— TheAnalyst (@ffforward) 15 Οκτωβρίου 2021

Σύμφωνα με η εταιρεία ασφαλείας Palo Alto Networks, BazarLoader (μερικές φορές αναφέρεται ως BazaLoader) είναι κακόβουλο λογισμικό που παρέχει πρόσβαση στην κερκόπορτα σε έναν μολυσμένο κεντρικό υπολογιστή των Windows.

Αφού μολυνθεί ένας πελάτης, οι εγκληματίες χρησιμοποιούν αυτήν την πρόσβαση στην κερκόπορτα για να στείλουν κακόβουλο λογισμικό παρακολούθησης, να σαρώσουν το περιβάλλον και να εκμεταλλευτούν άλλους ευάλωτους κεντρικούς υπολογιστές στο δίκτυο.

Η συντριπτική πλειονότητα των ransomware επιτίθεται μόνο στα Windows, με μια ανάλυση από το προσωπικό της βάσης δεδομένων VirusTotal που ανήκει στην Google την περασμένη Πέμπτη, έδειξε ότι το 95% των 80 εκατομμυρίων δειγμάτων αναλύθηκε.

Το VirusTotal είναι ένας ιστότοπος όπου οι ερευνητές ασφαλείας μπορούν να υποβάλουν οποιοδήποτε ransomware βρουν και να το σαρώσουν από μηχανές προστασίας από ιούς για να δουν αν μπορεί να αναγνωριστεί.

Ο Beaumont, ο οποίος έχει μια καλά κερδισμένη φήμη ως ερευνητής που σπεύδει να παραδεχτεί σφάλματα στον κλάδο του, αναγνώρισε ότι και άλλες εταιρείες τεχνολογίας έπαιξαν μεγάλο ρόλο στη φιλοξενία κακόβουλου λογισμικού.

Είπε επίσης ότι κάποιος στις απαντήσεις από τη Microsoft λέει ότι όταν τα πράγματα εντοπίζονται από το Defender, αφαιρούνται αυτόματα στο OneDrive.

Αυτό κατηγορηματικά δεν είναι αλήθεια, αυτή η λειτουργικότητα δεν υπάρχει. Η Microsoft πρέπει να εξετάσει μακροχρόνια αυτό το πρόβλημα.

Ορίστε. Ας δούμε πόσο χρόνο χρειάζεται για την MS για να καταργήσει αυτούς τους 867 ιστότοπους κακόβουλου λογισμικού. Σταυρώνω τα δάχτυλά μου 🤞

Για την ιστορία, ο παλαιότερος ενεργός ιστότοπος κακόβουλου λογισμικού με ηλικία 19 μηνών φιλοξενείται στο Sharepoint και εξυπηρετεί το GuLoader:

👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4

— abuse.ch (@abuse_ch) 16 Οκτωβρίου 2021

Το Bazarloader είχε μετακινηθεί από το Google Drive στο OneDrive, σύμφωνα με αυτούς τους πρόσφατους ισχυρισμούς.

Το περιεχόμενό τους καταργήθηκε σχεδόν αμέσως από το Google Drive, επειδή εμείς, η Microsoft, το αναφέραμε στην Google. Είναι ακόμα συνδεδεμένο, μέρες αργότερα, στο OneDrive, παρά το γεγονός ότι έχει αναφερθεί, επειδή η Microsoft το ψαχουλεύει. Φτιάξτο.

Ερωτηθείς από τον Lee Holmes, τον κύριο αρχιτέκτονα ασφαλείας για το Azure Security, εάν το είχε αναφέρει αυτό στη Microsoft, ο Beaumont είπε ότι ο Ελβετός ερευνητής το είχε κάνει.

Έπρεπε να κάνω πράγματα λίστα αποστολή στο CERT, λήψη πουθενά, αποστολή στο DSRE, λήψη πουθενά, cc στους διαχειριστές κ.λπ. Το O365 έχει https://abuse.ch καταργήσεις που εκκρεμούν για μήνες.

Ο Beaumont πρόσθεσε ότι η στάση της Microsoft απέναντι στην παρουσία κακόβουλου λογισμικού στην πλατφόρμα του Office365 ήταν αυτή εδώ και χρόνια.

@ffforward Τα αναφέρατε αυτά; Υπάρχουν εκτεταμένα συστήματα για την αντιμετώπιση κακόβουλου περιεχομένου (συμπεριλαμβανομένου ενός API αναφοράς κατάχρησης)https://t.co/cSRbLEiLKn

— Lee Holmes (@Lee_Holmes) 15 Οκτωβρίου 2021

Ωστόσο, δεν πρόκειται για πρόβλημα αποκλειστικό της Microsoft ούτε για νέο ζήτημα, καθώς έχουμε δει στο παρελθόν να φιλοξενείται κακόβουλο λογισμικό σε άλλες πλατφόρμες.

Σύμφωνα με έρευνα του Πανεπιστημίου Εφαρμοσμένων Επιστημών της Βέρνης, η Google και το Cloudflare είναι αυτή τη στιγμή μεταξύ των κορυφαία διαδικτυακά δίκτυα φιλοξενίας κακόβουλου λογισμικού.

Ως εκ τούτου, ολόκληρη η τεχνολογική βιομηχανία πρέπει να είναι καλύτερη για την εύρεση κακόβουλου περιεχομένου που φιλοξενείται στους διακομιστές της προτού αναζητήσει αλλού προβλήματα.

Σε κάθε περίπτωση, ελπίζουμε ότι αυτό το περιστατικό θα οδηγήσει τη Microsoft σε αποφασιστική δράση που μπορεί να βοηθήσει στην προστασία εκατομμυρίων ανθρώπων και χιλιάδων οργανισμών από εξουθενωτικές επιθέσεις κακόβουλου λογισμικού.

Ποια είναι η γνώμη σας για όλη αυτή την κατάσταση; Μοιραστείτε τη γνώμη σας μαζί μας στην παρακάτω ενότητα σχολίων.