- Microsoft ponownie znajduje się w centrum ogromnego skandalu wysokiego ryzyka.
- Były analityk ds. bezpieczeństwa postanowił ujawnić giganta technologicznego.
- Office 365 od lat celowo hostuje złośliwe oprogramowanie.
- To może być ogromny hit dla firmy z Redmond.
Trzymaj się swoich miejsc i trzymaj ręce w wagonie przez cały czas, ponieważ ta jazda będzie wyboista.
Brytyjska badaczka technologii, która na kilka miesięcy zrezygnowała z pracy jako analityk zagrożeń bezpieczeństwa w firmie Microsoft z powrotem, wezwał swojego byłego pracodawcę do szybkiego działania i usunięcia łączy do oprogramowania ransomware w swoim Office365 Platforma.
Założę się, że tego nie przewidziałeś, prawda?
Były pracownik Microsoft ujawnia schemat oprogramowania ransomware
W tweecie wysłanym w piątek Beaumont powiedział, że Microsoft nie może reklamować się jako lider bezpieczeństwa z zabezpieczeniami 8000 pracowników i biliony sygnałów, jeśli nie mogą zapobiec bezpośredniemu wykorzystaniu ich własnej platformy Office365 do uruchomienia Conti ransomware.
Zanim przyjedzie pociąg pracowników SM mówiących „po prostu zgłoś to”, postaraj się, aby ich i przyszłych zlikwidował sam. Zrobiłem. To była katastrofa.
Sprawdź średni czas reakcji firmy Microsoft (na zgłoszenia nadużyć). Są najlepszym na świecie hosterem złośliwego oprogramowania od około dekady, dzięki O365. pic.twitter.com/95Riv0kmDg
— Kevin Beaumont (@GossiTheDog) 15 października 2021
Odpowiadał oczywiście na tweeta od specjalisty z branży informacyjnej, używając uchwytu TheAnalyst.
Wszyscy czytaliście jak #BazarLoader#BazaLoader prowadzi do #ransomware, w szczególności #kontynuuj to nie obchodzi, że celują w opiekę zdrowotną itp.? Czy @Microsoft ponoszą za to jakąkolwiek odpowiedzialność, gdy ŚWIADOMIE przechowują setki plików prowadzących do tego, teraz przez ponad trzy dni? https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W
— Analityk (@ffforward) 15 października 2021
Według firma zajmująca się bezpieczeństwem Palo Alto Networks, BazarLoader (czasami określana jako BazaLoader) to złośliwe oprogramowanie, które zapewnia dostęp do zainfekowanego hosta Windows za pomocą backdoora.
Po zainfekowaniu klienta przestępcy wykorzystują ten dostęp do backdoora, aby wysyłać kolejne złośliwe oprogramowanie, skanować środowisko i wykorzystywać inne podatne na ataki hosty w sieci.
Zdecydowana większość ransomware atakuje tylko system Windows, a analiza przeprowadzona w ostatni czwartek przez pracowników należącej do Google bazy danych VirusTotal wykazała, że przeanalizowano 95% z 80 milionów próbek.
VirusTotal to witryna, na której analitycy bezpieczeństwa mogą przesyłać dowolne znalezione oprogramowanie ransomware i skanować je przez silniki antywirusowe, aby sprawdzić, czy można je zidentyfikować.
Beaumont, który ma zasłużoną reputację badacza, który szybko przyznaje się do błędów w swojej branży, przyznał, że inne firmy technologiczne również odegrały dużą rolę w hostowaniu złośliwego oprogramowania.
Powiedział też, że w odpowiedziach Microsoftu jest ktoś, kto mówi, że gdy rzeczy zostaną wykryte przez Defendera, zostaną automatycznie usunięte w OneDrive.
To kategorycznie nieprawda, tej funkcjonalności nie ma. Microsoft musi przyjrzeć się temu problemowi długo i uważnie.
Proszę bardzo. Zobaczmy, ile czasu zajmuje MS usunięcie tych 867 witryn ze złośliwym oprogramowaniem. Krzyżuję palce
Dla przypomnienia, najstarsza aktywna strona ze złośliwym oprogramowaniem w wieku 19 miesięcy jest hostowana na Sharepoint i obsługuje GuLoadera:
👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4
— nadużycie.ch (@nadużycie_ch) 16 października 2021
Bazarloader przeniósł się z Google Drive do OneDrive, zgodnie z ostatnimi zarzutami.
Ich treści były usuwane z Dysku Google niemal natychmiast, ponieważ my, Microsoft, zgłosiliśmy je do Google. Nadal jest online, kilka dni później, na OneDrive, mimo że został zgłoszony, ponieważ Microsoft go grzebie. Napraw to.
Zapytany przez Lee Holmesa, głównego architekta bezpieczeństwa dla Azure Security, czy zgłosił to do Microsoftu, Beaumont powiedział, że zrobił to szwajcarski badacz.
Musiałem zrobić listę rzeczy wyślij do CERT, nigdzie nie wyślij, wyślij do DSRE, nigdzie nie, cc w menedżerach itp. O365 ma https://abuse.ch usunięcia oczekujące od miesięcy.
Beaumont dodał, że podejście Microsoftu do obecności złośliwego oprogramowania na swojej platformie Office365 było takie od lat.
@ffforward Zgłosiłeś to? Istnieją rozbudowane systemy do zwalczania złośliwych treści (w tym interfejs API do zgłaszania nadużyć)https://t.co/cSRbLEiLKn
— Lee Holmes (@Lee_Holmes) 15 października 2021
Nie jest to jednak problem wyłącznie Microsoft ani nowy problem, ponieważ w przeszłości widzieliśmy złośliwe oprogramowanie hostowane na innych platformach.
Według badań przeprowadzonych przez Uniwersytet Nauk Stosowanych w Bernie, Google i Cloudflare należą obecnie do najlepsze internetowe sieci hostujące złośliwe oprogramowanie.
W związku z tym cała branża technologiczna musi lepiej znajdować złośliwą zawartość hostowaną na jej serwerach, zanim zacznie szukać problemów w innym miejscu.
W każdym razie, miejmy nadzieję, ten incydent skłoni Microsoft do zdecydowanych działań, które mogą pomóc chronić miliony ludzi i tysiące organizacji przed wyniszczającymi atakami złośliwego oprogramowania.
Jakie jest twoje zdanie na temat tej całej sytuacji? Podziel się z nami swoją opinią w sekcji komentarzy poniżej.
