- Microsoft è di nuovo al centro di un enorme scandalo ad alto rischio.
- Un ex analista della sicurezza ha deciso di smascherare il gigante della tecnologia.
- Office 365 ospita intenzionalmente malware da anni.
- Questo potrebbe effettivamente essere un enorme successo per l'azienda di Redmond.
Aggrappati ai tuoi sedili e tieni sempre le braccia all'interno della carrozza, perché questa corsa sta per diventare accidentata.
Un ricercatore tecnologico britannico, che ha smesso di lavorare come analista di minacce alla sicurezza con Microsoft pochi mesi indietro, ha invitato il suo ex datore di lavoro ad agire rapidamente e rimuovere i collegamenti al ransomware sul suo Office365 piattaforma.
Scommetto che non l'hai visto arrivare, vero?
L'ex dipendente Microsoft espone lo schema ransomware
In un tweet inviato venerdì, Beaumont ha affermato che Microsoft non può pubblicizzarsi come leader della sicurezza con 8000 security dipendenti e trilioni di segnali se non possono impedire che la propria piattaforma Office365 venga utilizzata direttamente per lanciare Conti ransomware.
Prima che arrivi il treno di dipendenti della SM che dice "basta segnalarlo", prova a far rimuovere loro e quelli futuri. L'ho fatto. È stato un disastro.
Controlla il tempo di reazione medio di Microsoft (per segnalare abusi). Sono i migliori hoster di malware al mondo da circa un decennio, grazie a O365. pic.twitter.com/95Riv0kmDg
— Kevin Beaumont (@GossiTheDog) 15 ottobre 2021
Stava, ovviamente, rispondendo a un tweet di un professionista di infosec usando l'handle TheAnalyst.
Avete letto tutti come #BazarLoader#BazaLoader porta a #ransomware, in particolare #conti a cui non importa che prendano di mira l'assistenza sanitaria, ecc? Fa @Microsoft hanno qualche responsabilità in questo quando consapevolmente stanno ospitando centinaia di file che portano a questo, ora da oltre tre giorni? https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W
— TheAnalyst (@ffforward) 15 ottobre 2021
Secondo la società di sicurezza Palo Alto Networks, BazarLoader (a volte indicato come BazaLoader) è un malware che fornisce accesso backdoor a un host Windows infetto.
Dopo che un client è stato infettato, i criminali utilizzano questo accesso backdoor per inviare malware di follow-up, scansionare l'ambiente e sfruttare altri host vulnerabili sulla rete.
La stragrande maggioranza dei ransomware attacca solo Windows, con un'analisi dello staff del database VirusTotal di proprietà di Google giovedì scorso che mostra che è stato analizzato il 95% di 80 milioni di campioni.
VirusTotal è un sito in cui i ricercatori di sicurezza possono inviare qualsiasi ransomware che trovano e farlo scansionare dai motori antivirus per vedere se può essere identificato.
Beaumont, che ha una meritata reputazione come ricercatore pronto ad ammettere i difetti nel proprio settore, ha riconosciuto che anche altre società tecnologiche hanno svolto un ruolo importante nell'hosting di malware.
Ha anche detto che c'è qualcuno nelle risposte di Microsoft che dice che quando le cose vengono rilevate da Defender, vengono automaticamente rimosse in OneDrive.
Non è categoricamente vero, quella funzionalità non c'è. Microsoft ha bisogno di uno sguardo lungo e approfondito a questo problema.
Ecco qua. Vediamo quanto tempo impiega MS per rimuovere quegli 867 siti di malware. incrocio le dita
Per la cronaca, il sito di malware attivo più vecchio con un'età di 19 mesi è ospitato su Sharepoint e serve GuLoader:
👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4
— abuse.ch (@abuse_ch) 16 ottobre 2021
Bazarloader era passato da Google Drive a OneDrive, secondo queste recenti accuse.
Il loro contenuto veniva rimosso da Google Drive quasi istantaneamente perché noi, Microsoft, lo abbiamo segnalato a Google. È ancora online, giorni dopo, su OneDrive nonostante sia stato segnalato, perché Microsoft lo sta armeggiando. Aggiustalo.
Alla domanda di Lee Holmes, il principale architetto della sicurezza per Azure Security, se avesse segnalato questo a Microsoft, Beaumont ha detto che il ricercatore svizzero lo aveva fatto.
Ho dovuto fare l'elenco delle cose inviare a CERT, ottenere da nessuna parte, inviare a DSRE, ottenere da nessuna parte, cc in manager ecc. O365 ha https://abuse.ch sgomberi pendenti da mesi.
Beaumont ha aggiunto che l'atteggiamento di Microsoft nei confronti della presenza di malware sulla sua piattaforma Office365 è stato così per anni.
@ffforward Li hai segnalati? Esistono numerosi sistemi per affrontare i contenuti dannosi (inclusa un'API di segnalazione degli abusi)https://t.co/cSRbLEiLKn
— Lee Holmes (@Lee_Holmes) 15 ottobre 2021
Tuttavia, questo non è un problema esclusivo di Microsoft né un nuovo problema, poiché in passato abbiamo visto malware ospitato su altre piattaforme.
Secondo una ricerca dell'Università di Scienze Applicate di Berna, Google e Cloudflare sono attualmente tra i le migliori reti di hosting di malware online.
Pertanto, l'intero settore tecnologico deve essere più bravo a trovare contenuti dannosi ospitati sui suoi server prima di cercare problemi altrove.
In ogni caso, si spera, questo incidente guiderà Microsoft a un'azione decisiva che può aiutare a proteggere milioni di persone e migliaia di organizzazioni da attacchi di malware debilitanti.
Qual è la tua opinione su tutta questa situazione? Condividi la tua opinione con noi nella sezione commenti qui sotto.
