מנתח אבטחה של מיקרוסופט אומר ש-Office 365 אירח תוכנות זדוניות ביודעין

החזיקו במושבים שלכם והחזיקו את זרועותיכם בתוך הכרכרה כל הזמן, כי הנסיעה הזו עומדת להיות מהמורות.

חוקר טכנולוגיה בריטי, שהפסיק לעבוד כמנתח איומי אבטחה במיקרוסופט לכמה חודשים חזרה, קרא למעסיקו לשעבר לפעול במהירות ולהסיר קישורים לתוכנות כופר ב-Office365 שלו פּלַטפוֹרמָה.

מתערב שלא ראית את זה מגיע, נכון?

עובד לשעבר של מיקרוסופט חושף תוכנית כופר

בציוץ שנשלח ביום שישי, אמר ביומונט שמיקרוסופט לא יכולה לפרסם את עצמה כמובילת האבטחה עם אבטחת 8000 עובדים וטריליוני אותות אם הם לא יכולים למנוע מפלטפורמת Office365 משלהם להשתמש ישירות כדי להשיק את Conti כופרה.

לפני שהרכבת של עובדי MS מגיעה ואומרת 'פשוט דווח על זה', נסו להוריד אותם ואת אלה העתידיים בעצמכם. אני עשיתי. זה היה אסון.

בדוק את זמן התגובה הממוצע של מיקרוסופט (לדוחות שימוש לרעה). הם מארח תוכנות זדוניות הטובות בעולם מזה כעשור, בגלל O365. pic.twitter.com/95Riv0kmDg

- קווין ביומונט (@GossiTheDog) 15 באוקטובר 2021

הוא, כמובן, הגיב לציוץ של איש מקצוע של infosec באמצעות הידית TheAnalyst.

כולכם קראתם איך #BazarLoader#BazaLoader מוביל ל #כופרה, באופן מיוחד #conti שלא אכפת להם שהם מכוונים לבריאות וכו'? עושה @Microsoft האם יש אחריות כלשהי בעניין זה כשהם ביודעין מארחים מאות קבצים המובילים לכך, עכשיו במשך יותר משלושה ימים? https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W

- TheAnalyst (@ffforward) 15 באוקטובר 2021

לפי חברת האבטחה Palo Alto Networks, BazarLoader (המכונה לפעמים BazaLoader) היא תוכנה זדונית המספקת גישה בדלת אחורית למארח Windows נגוע.

לאחר שלקוח נדבק, פושעים משתמשים בגישה זו מהדלת האחורית כדי לשלוח תוכנות זדוניות עוקבות, לסרוק את הסביבה ולנצל מארחים פגיעים אחרים ברשת.

רוב מכריע של תוכנות הכופר תוקפות רק את Windows, כאשר ניתוח של צוות מסד הנתונים VirusTotal שבבעלות גוגל הראה ביום חמישי שעבר כי 95% מתוך 80 מיליון דגימות נותחו.

VirusTotal הוא אתר שבו חוקרי אבטחה יכולים להגיש כל תוכנת כופר שהם מוצאים ולסרוק אותה על ידי מנועי אנטי וירוס כדי לראות אם ניתן לזהות אותה.

ביומונט, שיש לו מוניטין של חוקר שממהר להודות בתקלות בתעשייה שלו, הודה שגם חברות טכנולוגיה אחרות מילאו תפקיד גדול באירוח תוכנות זדוניות.

הוא גם אמר שיש מישהו בתשובות ממיקרוסופט שאומר שכאשר דברים מזוהים על ידי Defender, הם מורידים אוטומטית ב-OneDrive.

זה לא נכון באופן מוחלט, הפונקציונליות הזו לא קיימת. מיקרוסופט צריכה לבחון את הבעיה הזו לעומק.

הנה לך. בוא נראה כמה זמן לוקח ל-MS להוריד את 867 אתרי תוכנה זדונית. אני מחזיקה אצבעות 🤞

למען הפרוטוקול, אתר התוכנה הזדונית הפעיל ביותר עם גיל 19 חודשים מתארח ב-Sharepoint ומשרת את GuLoader:

👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4

— abuse.ch (@abuse_ch) 16 באוקטובר 2021

Bazarloader עבר מ-Google Drive ל-OneDrive, על פי ההאשמות האחרונות הללו.

פעם התוכן שלהם הוסר מ-Google Drive כמעט באופן מיידי כי אנחנו, מיקרוסופט, דיווחנו על כך לגוגל. הוא עדיין מקוון, ימים לאחר מכן, ב-OneDrive למרות שדווח עליו, כי מיקרוסופט מפשפשת בו. תתקן את זה.

לשאלת לי הולמס, ארכיטקט האבטחה הראשי של Azure Security, האם הוא דיווח על כך למיקרוסופט, אמר ביומונט שהחוקר השוויצרי עשה זאת.

הייתי צריך לעשות רשימת דברים לשלוח ל-CERT, להגיע לשום מקום, לשלוח ל-DSRE, להגיע לשום מקום, CC במנהלים וכו'. ל-O365 יש https://abuse.ch הסרות בהמתנה במשך חודשים.

ביומונט הוסיפה כי הגישה של מיקרוסופט לנוכחות תוכנות זדוניות בפלטפורמת Office365 שלה הייתה כזו במשך שנים.

@ffforward דיווחת על אלה? ישנן מערכות נרחבות לטיפול בתוכן זדוני (כולל ממשק API לדיווח על שימוש לרעה)https://t.co/cSRbLEiLKn

- לי הולמס (@Lee_Holmes) 15 באוקטובר 2021

עם זאת, זו לא בעיה בלעדית של מיקרוסופט וגם לא בעיה חדשה, מכיוון שראינו בעבר תוכנות זדוניות שמתארחות בפלטפורמות אחרות.

על פי מחקר של אוניברסיטת ברן למדעים יישומיים, גוגל ו-Cloudflare נמצאות כיום בין הרשתות המובילות באינטרנט לאירוח תוכנות זדוניות.

ככזה, כל תעשיית הטכנולוגיה צריכה להיות טובה יותר במציאת תוכן זדוני שמתארח בשרתים שלה לפני שתחפש בעיות במקומות אחרים.

בכל מקרה, יש לקוות שהתקרית הזו תניע את מיקרוסופט לפעולה נחרצת שיכולה לסייע בהגנה על מיליוני אנשים ואלפי ארגונים מפני התקפות תוכנות זדוניות.

מה דעתך על כל המצב הזה? שתף את דעתך איתנו בקטע התגובות למטה.