- Microsoft kembali menjadi pusat skandal besar yang berisiko tinggi.
- Seorang mantan analis keamanan memutuskan untuk mengekspos raksasa teknologi itu.
- Office 365 sengaja menghosting malware selama bertahun-tahun.
- Ini sebenarnya bisa menjadi hit besar bagi perusahaan Redmond.
Pegang kursi Anda dan jaga tangan Anda di dalam kereta setiap saat, karena perjalanan ini akan bergelombang.
Seorang peneliti teknologi Inggris, yang berhenti bekerja sebagai analis ancaman keamanan di Microsoft beberapa bulan kembali, telah meminta mantan majikannya untuk bertindak cepat dan menghapus tautan ke ransomware di Office365 platform.
Taruhan Anda tidak melihat itu datang, bukan?
Mantan karyawan Microsoft mengungkap skema ransomware
Dalam tweet yang dikirim pada hari Jumat, Beaumont mengatakan bahwa Microsoft tidak dapat mengiklankan diri mereka sebagai pemimpin keamanan dengan 8000 keamanan karyawan dan triliunan sinyal jika mereka tidak dapat mencegah platform Office365 mereka sendiri digunakan secara langsung untuk meluncurkan Conti ransomware.
Sebelum kereta karyawan MS tiba dengan mengatakan 'laporkan saja', coba turunkan mereka dan yang akan datang sendiri. Ya. Itu adalah bencana.
Lihat waktu reaksi rata-rata Microsoft (untuk menyalahgunakan laporan). Mereka adalah penghosting malware terbaik di dunia selama sekitar satu dekade, berkat O365. pic.twitter.com/95Riv0kmDg
— Kevin Beaumont (@GossiTheDog) 15 Oktober 2021
Dia, tentu saja, menanggapi tweet dari seorang profesional infosec menggunakan pegangan TheAnalyst.
Anda semua telah membaca caranya #BazarLoader#BazaLoader mengarah ke #ransomware, secara khusus #lanjut itu tidak peduli bahwa mereka menargetkan perawatan kesehatan dll? Melakukan @Microsoft memiliki tanggung jawab dalam hal ini ketika mereka TAHU meng-hosting ratusan file yang mengarah ke ini, sekarang selama lebih dari tiga hari? https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W
— TheAnalyst (@ffforward) 15 Oktober 2021
Berdasarkan perusahaan keamanan Palo Alto Networks, BazarLoader (kadang-kadang disebut sebagai BazaLoader) adalah malware yang menyediakan akses pintu belakang ke host Windows yang terinfeksi.
Setelah klien terinfeksi, penjahat menggunakan akses pintu belakang ini untuk mengirim malware tindak lanjut, memindai lingkungan, dan mengeksploitasi host rentan lainnya di jaringan.
Sebagian besar ransomware hanya menyerang Windows, dengan analisis oleh staf database VirusTotal milik Google Kamis lalu menunjukkan bahwa 95% dari 80 juta sampel dianalisis.
VirusTotal adalah situs di mana peneliti keamanan dapat mengirimkan ransomware apa pun yang mereka temukan dan memindainya oleh mesin anti-virus untuk melihat apakah itu dapat diidentifikasi.
Beaumont, yang memiliki reputasi baik sebagai peneliti yang cepat mengakui kesalahan dalam industrinya sendiri, mengakui bahwa perusahaan teknologi lain juga memainkan peran besar dalam menampung malware.
Dia juga mengatakan bahwa ada seseorang dalam balasan dari Microsoft yang mengatakan ketika sesuatu terdeteksi oleh Defender, mereka secara otomatis dihapus di OneDrive.
Itu jelas tidak benar, fungsionalitas itu tidak ada. Microsoft perlu melihat masalah ini dengan seksama.
Ini dia. Mari kita lihat berapa lama waktu yang dibutuhkan MS untuk menghapus 867 situs malware tersebut. Aku menyilangkan jariku
Sebagai catatan, situs malware aktif tertua dengan usia 19 bulan di-host di Sharepoint dan melayani GuLoader:
👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4
— abuse.ch (@abuse_ch) 16 Oktober 2021
Bazarloader telah pindah dari Google Drive ke OneDrive, menurut tuduhan baru-baru ini.
Konten mereka dulunya dihapus dari Google Drive hampir seketika karena, kami, Microsoft, melaporkannya ke Google. Itu masih online, beberapa hari kemudian, di OneDrive meskipun dilaporkan, karena Microsoft meraba-raba. Memperbaikinya.
Ditanya oleh Lee Holmes, arsitek keamanan utama untuk Azure Security, apakah dia telah melaporkan ini ke Microsoft, Beaumont mengatakan peneliti Swiss telah melakukannya.
Saya harus melakukan daftar hal-hal yang dikirim ke CERT, tidak mendapatkan apa-apa, mengirim ke DSRE, tidak mendapatkan apa-apa, cc di manajer, dll. O365 memiliki https://abuse.ch penghapusan tertunda selama berbulan-bulan.
Beaumont menambahkan bahwa sikap Microsoft terhadap keberadaan malware di platform Office365 sudah seperti itu selama bertahun-tahun.
@ffforward Apakah Anda melaporkan ini? Ada sistem ekstensif untuk menangani konten berbahaya (termasuk API pelaporan penyalahgunaan)https://t.co/cSRbLEiLKn
— Lee Holmes (@Lee_Holmes) 15 Oktober 2021
Namun, ini bukan masalah eksklusif Microsoft atau masalah baru, karena kami telah melihat malware yang dihosting di platform lain di masa lalu.
Menurut penelitian oleh Bern University of Applied Sciences, Google dan Cloudflare saat ini termasuk di antara jaringan hosting malware online teratas.
Dengan demikian, seluruh industri teknologi harus lebih baik dalam menemukan konten berbahaya yang dihosting di servernya sebelum mencari masalah di tempat lain.
Bagaimanapun, semoga, insiden ini akan mendorong Microsoft untuk mengambil tindakan tegas yang dapat membantu melindungi jutaan orang dan ribuan organisasi dari serangan malware yang melemahkan.
Apa pendapat Anda tentang seluruh situasi ini? Bagikan pendapat Anda dengan kami di bagian komentar di bawah.
