- Microsoft est à nouveau au centre d'un énorme scandale à haut risque.
- Un ancien analyste en sécurité a décidé d'exposer le géant de la technologie.
- Office 365 héberge intentionnellement des logiciels malveillants depuis des années.
- Cela pourrait en fait être un énorme succès pour la société de Redmond.
Accrochez-vous à vos sièges et gardez vos bras à l'intérieur de la voiture à tout moment, car ce trajet est sur le point de devenir cahoteux.
Un chercheur britannique en technologie, qui a cessé de travailler comme analyste des menaces de sécurité chez Microsoft quelques mois de retour, a appelé son ancien employeur à agir rapidement et à supprimer les liens vers les ransomwares sur son Office365 Plate-forme.
Je parie que vous ne l'avez pas vu venir, n'est-ce pas ?
Un ancien employé de Microsoft expose un programme de ransomware
Dans un tweet envoyé vendredi, Beaumont a déclaré que Microsoft ne pouvait pas se présenter comme le leader de la sécurité avec 8000 sécurité employés et des milliers de milliards de signaux s'ils ne peuvent empêcher leur propre plate-forme Office365 d'être directement utilisée pour lancer Conti ransomware.
Avant que le train d'employés de MS n'arrive en disant « signalez-le », essayez de les faire descendre vous-mêmes, ainsi que les futurs. J'ai fait. Ce fut un désastre.
Vérifiez le temps de réaction moyen de Microsoft (aux rapports d'abus). Ils sont le meilleur hébergeur de logiciels malveillants au monde depuis environ une décennie, grâce à O365. pic.twitter.com/95Riv0kmDg
– Kevin Beaumont (@GossiTheDog) 15 octobre 2021
Il répondait bien sûr à un tweet d'un professionnel de l'infosec utilisant le pseudo TheAnalyst.
Vous avez tous lu comment #BazarLoader#BazaLoader mène à #ransomware, en particulier #conti cela ne se soucie pas qu'ils ciblent les soins de santé, etc.? Fait @Microsoft ont une responsabilité là-dedans alors qu'ils hébergent SCIemment des centaines de fichiers menant à cela, depuis maintenant plus de trois jours? https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W
- L'analyste (@ffforward) 15 octobre 2021
Selon la société de sécurité Palo Alto Networks, BazarLoader (parfois appelé BazaLoader) est un malware qui fournit un accès backdoor à un hôte Windows infecté.
Une fois qu'un client est infecté, les criminels utilisent cet accès de porte dérobée pour envoyer des logiciels malveillants de suivi, analyser l'environnement et exploiter d'autres hôtes vulnérables sur le réseau.
Une écrasante majorité des ransomwares n'attaquent que Windows, avec une analyse effectuée jeudi dernier par le personnel de la base de données VirusTotal appartenant à Google, montrant que 95% des 80 millions d'échantillons ont été analysés.
VirusTotal est un site où les chercheurs en sécurité peuvent soumettre tout ransomware qu'ils trouvent et le faire analyser par des moteurs antivirus pour voir s'il peut être identifié.
Beaumont, qui a une réputation bien méritée en tant que chercheur qui admet rapidement les défauts de son propre secteur, a reconnu que d'autres entreprises technologiques ont également joué un rôle important dans l'hébergement de logiciels malveillants.
Il a également déclaré qu'il y avait quelqu'un dans les réponses de Microsoft disant que lorsque des choses sont détectées par Defender, elles sont automatiquement supprimées dans OneDrive.
Ce n'est absolument pas vrai, cette fonctionnalité n'est pas là. Microsoft doit se pencher longuement sur ce problème.
Voilà. Voyons combien de temps il faut à MS pour supprimer ces 867 sites malveillants. je croise les doigts
Pour mémoire, le plus ancien site de malware actif avec un âge de 19 mois est hébergé sur Sharepoint et sert GuLoader :
👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4
— abuse.ch (@abuse_ch) 16 octobre 2021
Bazarloader était passé de Google Drive à OneDrive, selon ces récentes allégations.
Leur contenu était retiré de Google Drive presque instantanément parce que nous, Microsoft, l'avons signalé à Google. Il est toujours en ligne, quelques jours plus tard, sur OneDrive bien qu'il ait été signalé, car Microsoft le tâtonne. Répare le.
Interrogé par Lee Holmes, le principal architecte de sécurité pour Azure Security, s'il avait signalé cela à Microsoft, Beaumont a déclaré que le chercheur suisse l'avait fait.
Je devais faire la liste des choses envoyer au CERT, aller nulle part, envoyer à DSRE, aller nulle part, cc dans les gestionnaires, etc. O365 a https://abuse.ch retraits en attente depuis des mois.
Beaumont a ajouté que l'attitude de Microsoft envers la présence de logiciels malveillants sur sa plate-forme Office365 était la même depuis des années.
@ffavant Les avez-vous signalés? Il existe des systèmes complets pour traiter le contenu malveillant (y compris une API de rapport d'abus)https://t.co/cSRbLEiLKn
– Lee Holmes (@Lee_Holmes) 15 octobre 2021
Cependant, il ne s'agit pas d'un problème exclusif à Microsoft ni d'un nouveau problème, car nous avons déjà vu des logiciels malveillants hébergés sur d'autres plates-formes.
Selon une étude de la Haute école spécialisée bernoise, Google et Cloudflare font actuellement partie des principaux réseaux d'hébergement de logiciels malveillants en ligne.
En tant que tel, l'ensemble de l'industrie technologique doit mieux trouver le contenu malveillant hébergé sur ses serveurs avant de chercher ailleurs des problèmes.
Dans tous les cas, espérons-le, cet incident conduira Microsoft à prendre des mesures décisives qui peuvent aider à protéger des millions de personnes et des milliers d'organisations contre les attaques de logiciels malveillants débilitantes.
Quelle est votre opinion sur toute cette situation? Partagez votre opinion avec nous dans la section commentaire ci-dessous.
