- Microsoft je ponovno u središtu velikog skandala visokog rizika.
- Bivši sigurnosni analitičar odlučio je razotkriti tehnološkog diva.
- Office 365 već godinama namjerno hostira zlonamjerni softver.
- Ovo bi zapravo mogao biti veliki hit za tvrtku Redmond.
Držite se za svoja sjedala i uvijek držite ruke unutar kočije, jer će ova vožnja postati neravan.
Britanski tehnološki istraživač, koji je prestao raditi kao analitičar sigurnosnih prijetnji u Microsoftu nekoliko mjeseci vratio, pozvao je svog bivšeg poslodavca da djeluje brzo i ukloni veze na ransomware na svom Office365 platforma.
Kladim se da to niste vidjeli, zar ne?
Bivši zaposlenik Microsofta razotkriva shemu ransomwarea
U tweetu poslanom u petak, Beaumont je rekao da se Microsoft ne može oglašavati kao lider u sigurnosti s 8000 sigurnosti zaposlenika i trilijune signala ako ne mogu spriječiti da se njihova vlastita Office365 platforma izravno koristi za pokretanje Conti ransomware.
Prije nego što stigne vlak MS-ovih zaposlenika koji govore 'samo to prijavi', pokušajte sami skinuti njih i buduće. Učinio sam. Bila je to katastrofa.
Provjerite Microsoftovo prosječno vrijeme reakcije (za prijave zloupotrebe). Oni su najbolji svjetski hoster zlonamjernog softvera već desetak godina, zahvaljujući O365. pic.twitter.com/95Riv0kmDg
— Kevin Beaumont (@GossiTheDog) 15. listopada 2021
On je, naravno, odgovarao na tweet stručnjaka za infosec korištenjem ručke TheAnalyst.
Svi ste pročitali kako #BazarLoader#BazaLoader vodi do #ransomware, posebno #conti to ne mari što ciljaju na zdravstvo itd? ima @Microsoft imaju li ikakve odgovornosti u tome kada SVJESNO hostiraju stotine datoteka koje dovode do ovoga, sada već više od tri dana? https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W
— Analitičar (@ffforward) 15. listopada 2021
Prema sigurnosna tvrtka Palo Alto Networks, BazarLoader (ponekad nazvan BazaLoader) je zlonamjerni softver koji pruža backdoor pristup zaraženom Windows hostu.
Nakon što je klijent zaražen, kriminalci koriste ovaj backdoor pristup za slanje naknadnog zlonamjernog softvera, skeniranje okoline i iskorištavanje drugih ranjivih hostova na mreži.
Velika većina ransomwarea napada samo Windows, a analiza osoblja baze podataka VirusTotal u vlasništvu Googlea prošlog četvrtka pokazala je da je analizirano 95% od 80 milijuna uzoraka.
VirusTotal je stranica na kojoj istraživači sigurnosti mogu poslati bilo koji ransomware koji pronađu i da ga skeniraju antivirusni motori kako bi vidjeli može li ga se identificirati.
Beaumont, koji ima dobro zasluženu reputaciju istraživača koji brzo priznaje greške u vlastitoj industriji, priznao je da su i druge tehnološke tvrtke također imale veliku ulogu u hostiranju zlonamjernog softvera.
Također je rekao da je netko u odgovorima iz Microsofta rekao da kada Defender otkrije stvari, one se automatski uklanjaju u OneDriveu.
To kategorički nije točno, te funkcionalnosti nema. Microsoft treba dugo i temeljito razmotriti ovaj problem.
Izvoli. Pogledajmo koliko je vremena potrebno MS-u da ukloni tih 867 zlonamjernih web-lokacija. Držim palčeve 🤞
Za zapisnik, najstarija aktivna web-lokacija zlonamjernog softvera stara 19 mjeseci nalazi se na Sharepointu i poslužuje GuLoader:
👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4
— abuse.ch (@abuse_ch) 16. listopada 2021
Bazarloader se preselio s Google diska na OneDrive, prema ovim nedavnim optužbama.
Njihov je sadržaj bio skoro trenutno uklonjen s Google diska jer smo ga mi, Microsoft, prijavili Googleu. Još uvijek je online, nekoliko dana kasnije, na OneDriveu unatoč tome što je prijavljen, jer ga Microsoft petlja. Popravi to.
Na pitanje Lee Holmesa, glavnog sigurnosnog arhitekta za Azure Security, je li to prijavio Microsoftu, Beaumont je rekao da je švicarski istraživač to učinio.
Morao sam poslati popis stvari u CERT, stići nigdje, poslati u DSRE, stići nigdje, cc u menadžerima itd. O365 ima https://abuse.ch uklanjanja na čekanju mjesecima.
Beaumont je dodao da je Microsoftov stav prema prisutnosti zlonamjernog softvera na njegovoj platformi Office365 takav već godinama.
@ffforward Jeste li ovo prijavili? Postoje opsežni sustavi za rješavanje zlonamjernog sadržaja (uključujući API za prijavu zloupotrebe)https://t.co/cSRbLEiLKn
— Lee Holmes (@Lee_Holmes) 15. listopada 2021
Međutim, ovo nije problem isključivo Microsofta niti novi problem, jer smo u prošlosti viđali zlonamjerni softver hostiran na drugim platformama.
Prema istraživanju Sveučilišta primijenjenih znanosti u Bernu, Google i Cloudflare trenutno su među najbolje online mreže za hosting zlonamjernog softvera.
Kao takva, cijela tehnološka industrija mora biti bolje u pronalaženju zlonamjernog sadržaja koji se nalazi na svojim poslužiteljima prije nego što potraži probleme negdje drugdje.
U svakom slučaju, nadamo se da će ovaj incident potaknuti Microsoft na odlučnu akciju koja može pomoći u zaštiti milijuna ljudi i tisuća organizacija od oslabljujućih napada zlonamjernog softvera.
Što mislite o cijeloj ovoj situaciji? Podijelite svoje mišljenje s nama u odjeljku komentara ispod.
