- A Microsoft ismét egy hatalmas, magas kockázatú botrány középpontjába került.
- Egy korábbi biztonsági elemző úgy döntött, hogy leleplezi a technológiai óriást.
- Az Office 365 évek óta szándékosan tárol rosszindulatú programokat.
- Ez valóban hatalmas siker lehet a redmondi cég számára.
Kapaszkodjon az üléseibe, és mindig tartsa a karját a kocsiban, mert ez az út göröngyössé válik.
Egy brit technológiai kutató, aki néhány hónapra felhagyott a Microsoft biztonsági fenyegetések elemzőjeként vissza, felszólította korábbi munkaadóját, hogy gyorsan cselekedjen, és távolítsa el a ransomware-ekre mutató hivatkozásokat az Office365-ről felület.
Fogadjunk, hogy nem láttad, hogy ez jön, igaz?
A Microsoft egykori alkalmazottja leleplezte a zsarolóprogramokat
Beaumont egy pénteki tweetben azt mondta, hogy a Microsoft nem hirdetheti magát a 8000-es biztonsággal vezető biztonsági vezetőként. alkalmazottak és billió jelek, ha nem tudják megakadályozni, hogy saját Office365 platformjukat közvetlenül használják a Conti elindítására ransomware.
Mielőtt megérkezik az MS-alkalmazottak vonata, mondván: „Csak jelentsd”, próbáld meg őket és a jövőbelieket is leszedni. Én csináltam. Katasztrófa volt.
Nézze meg a Microsoft átlagos reakcióidejét (a visszaélésekről szóló jelentésekre). Körülbelül egy évtizede ők a világ legjobb rosszindulatú programok tárhelyei, az O365-nek köszönhetően. pic.twitter.com/95Riv0kmDg
- Kevin Beaumont (@GossiTheDog) 2021. október 15
Természetesen egy infosec-szakember tweetére válaszolt a TheAnalyst fogantyúval.
Mindenki olvasta, hogyan #BazarLoader#BazaLoader oda vezet #ransomware, különösen #conti az nem érdekel, hogy megcélozzák az egészségügyet stb? Csinál @Microsoft van bármiféle felelőssége ebben, amikor TUDATOSAN tárolnak több száz fájlt, ami ehhez vezet, immár több mint három napja? https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W
— TheAnalyst (@ffforward) 2021. október 15
Alapján a Palo Alto Networks biztonsági cég, a BazarLoader (néha BazaLoaderként is emlegetik) egy rosszindulatú program, amely hátsó ajtón keresztül hozzáférést biztosít egy fertőzött Windows gazdagéphez.
Miután egy kliens megfertőződött, a bűnözők ezt a hátsó ajtón keresztüli hozzáférést használják arra, hogy további kártevőket küldjenek, átvizsgálják a környezetet, és kihasználják a hálózat többi sebezhető gazdagépét.
A zsarolóvírusok túlnyomó többsége csak a Windowst támadja meg, a Google tulajdonában lévő VirusTotal adatbázis munkatársainak múlt csütörtöki elemzése szerint a 80 millió minta 95%-át elemezték.
A VirusTotal egy olyan oldal, ahol a biztonsági kutatók bármilyen talált zsarolóprogramot beküldhetnek, és vírusirtó motorokkal átvizsgálhatják, hogy megállapítsák, azonosíthatók-e.
Beaumont, aki jól megérdemelt hírnevet szerzett kutatóként, aki gyorsan elismeri a hibákat saját iparágában, elismerte, hogy más technológiai cégek is nagy szerepet játszottak a rosszindulatú programok tárolásában.
Azt is elmondta, hogy a Microsoft válaszaiban valaki azt mondja, ha a Defender észlel valamit, azokat automatikusan eltávolítja a OneDrive-ban.
Ez kategorikusan nem igaz, ez a funkció nem létezik. A Microsoftnak hosszan és alaposan meg kell vizsgálnia ezt a problémát.
Nesze. Nézzük meg, mennyi időbe telik, amíg az MS eltávolítja azt a 867 rosszindulatú webhelyet. Összefonom az ujjaimat 🤞
Emlékeztetni kell arra, hogy a legrégebbi, 19 hónapos rosszindulatú webhelyet a Sharepoint tárolja, és a GuLoadert szolgálja ki:
👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4
— abuse.ch (@abuse_ch) 2021. október 16
A legutóbbi állítások szerint a Bazarloader a Google Drive-ból a OneDrive-ba költözött.
A tartalmukat szinte azonnal eltávolították a Google Drive-ról, mert mi, a Microsoft jelentettük a Google-nak. Napokkal később még mindig online van a OneDrive-on, annak ellenére, hogy jelentették, mert a Microsoft trükközik vele. Javítsd meg.
Lee Holmesnak, az Azure Security vezető biztonsági építészének kérdésére, hogy jelentette-e ezt a Microsoftnak, Beaumont azt mondta, hogy a svájci kutató tette ezt.
CERT-nek kellett elküldenem a dolgok listáját, el kellett küldenem a sehova, el kellett küldenem a DSRE-nek, el kellett jutnom sehova, cc-t kell küldenem a menedzserekben stb. Az O365 rendelkezik https://abuse.ch hónapok óta függő eltávolítások.
Beaumont hozzátette, hogy a Microsoft hozzáállása a rosszindulatú programok jelenlétéhez az Office365 platformon évek óta így volt.
@ffforward Ezeket jelentetted? Kiterjedt rendszerek állnak rendelkezésre a rosszindulatú tartalom kezelésére (beleértve a visszaélést jelentő API-t is)https://t.co/cSRbLEiLKn
- Lee Holmes (@Lee_Holmes) 2021. október 15
Ez azonban nem a Microsoft kizárólagos problémája, és nem is új probléma, mivel korábban is találkoztunk más platformokon tárolt rosszindulatú programokkal.
A Berni Alkalmazott Tudományok Egyetemének kutatása szerint a Google és a Cloudflare jelenleg azok közé tartozik legnépszerűbb online rosszindulatú programokat tároló hálózatok.
Mint ilyen, az egész technológiai iparágnak jobban meg kell találnia a szerverein tárolt rosszindulatú tartalmat, mielőtt máshol keresné a problémákat.
Remélhetőleg mindenesetre ez az incidens határozott lépésekre készteti a Microsoftot, amely emberek millióit és szervezetek ezreit védheti meg a rosszindulatú programoktól.
Mi a véleményed erről az egész helyzetről? Ossza meg velünk véleményét az alábbi megjegyzés részben.
