- Microsoft este din nou în centrul unui scandal uriaș cu risc ridicat.
- Un fost analist de securitate a decis să demască gigantul tehnologic.
- Office 365 găzduiește intenționat malware de ani de zile.
- Acesta ar putea fi de fapt un succes masiv pentru compania Redmond.
Ține-ți scaunele și ține-ți brațele în interiorul căruciorului în orice moment, pentru că această călătorie este pe cale să devină accidentată.
Un cercetător britanic în tehnologie, care a renunțat la câteva luni să lucreze ca analist pentru amenințările de securitate la Microsoft înapoi, a cerut fostului său angajator să acționeze rapid și să elimine legăturile către ransomware de pe Office365 platformă.
Pariez că nu ai văzut asta venind, nu-i așa?
Un fost angajat Microsoft dezvăluie schema de ransomware
Într-un tweet trimis vineri, Beaumont a spus că Microsoft nu se poate face publicitate ca lider în securitate cu securitate 8000 angajați și trilioane de semnale dacă nu pot împiedica propria platformă Office365 să fie utilizată direct pentru lansarea Conti ransomware.
Înainte ca trenul de angajați MS să sosească spunând „doar raportați-o”, încercați să-i luați pe ei și pe viitorii singuri. Am facut. A fost un dezastru.
Verificați timpul mediu de reacție al Microsoft (la rapoartele de abuz). Sunt cel mai bun hoster de malware din lume de aproximativ un deceniu, datorită O365. pic.twitter.com/95Riv0kmDg
– Kevin Beaumont (@GossiTheDog) 15 octombrie 2021
Bineînțeles, el răspundea la un tweet de la un profesionist infosec folosind mânerul TheAnalyst.
Cu toții ați citit cum #BazarLoader#BazaLoader conduce la #ransomware, în special #conti că nu-i pasă că vizează asistența medicală etc? Face @Microsoft au vreo responsabilitate în acest sens atunci când CU ȘTIINȚA găzduiesc sute de fișiere care duc la acest lucru, acum de peste trei zile? https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W
— TheAnalyst (@ffforward) 15 octombrie 2021
Conform compania de securitate Palo Alto Networks, BazarLoader (uneori denumit BazaLoader) este un program malware care oferă acces din spate la o gazdă Windows infectată.
După ce un client este infectat, criminalii folosesc acest acces backdoor pentru a trimite programe malware ulterioare, pentru a scana mediul și pentru a exploata alte gazde vulnerabile din rețea.
O majoritate covârșitoare a ransomware-ului atacă doar Windows, o analiză efectuată de personalul bazei de date VirusTotal, deținută de Google, joia trecută, arătând că 95% din 80 de milioane de mostre au fost analizate.
VirusTotal este un site unde cercetătorii de securitate pot trimite orice ransomware pe care îl găsesc și îl pot scana de motoarele antivirus pentru a vedea dacă poate fi identificat.
Beaumont, care are o reputație bine câștigată de cercetător care recunoaște rapid greșelile din propria sa industrie, a recunoscut că și alte companii de tehnologie au jucat un rol important în găzduirea de malware.
El a mai spus că există cineva în răspunsurile de la Microsoft care spune că atunci când lucrurile sunt detectate de Defender, acestea sunt automat eliminate în OneDrive.
Acest lucru nu este în mod categoric adevărat, această funcționalitate nu există. Microsoft trebuie să analizeze îndelung această problemă.
Iată. Să vedem cât durează MS pentru a elimina acele 867 de site-uri malware. Îmi încrucișez degetele 🤞
Pentru înregistrare, cel mai vechi site malware activ cu o vârstă de 19 luni este găzduit pe Sharepoint și deservește GuLoader:
👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4
— abuse.ch (@abuse_ch) 16 octombrie 2021
Bazarloader se mutase de la Google Drive la OneDrive, conform acestor acuzații recente.
Conținutul lor era eliminat din Google Drive aproape instantaneu, deoarece noi, Microsoft, l-am raportat la Google. Este încă online, câteva zile mai târziu, pe OneDrive, deși a fost raportat, deoarece Microsoft îl găsește. Repara-l.
Întrebat de Lee Holmes, principalul arhitect de securitate pentru Azure Security, dacă a raportat acest lucru la Microsoft, Beaumont a spus că cercetătorul elvețian a făcut acest lucru.
A trebuit să trimit lista de lucruri la CERT, să nu ajung nicăieri, să trimit la DSRE, să nu ajung nicăieri, cc în manageri etc. O365 are https://abuse.ch demontări în așteptare de luni de zile.
Beaumont a adăugat că atitudinea Microsoft față de prezența malware-ului pe platforma Office365 a fost așa de ani de zile.
@ffforward Le-ai raportat? Există sisteme extinse pentru a aborda conținutul rău intenționat (inclusiv un API de raportare a abuzurilor)https://t.co/cSRbLEiLKn
— Lee Holmes (@Lee_Holmes) 15 octombrie 2021
Cu toate acestea, aceasta nu este o problemă exclusivă Microsoft și nici o problemă nouă, deoarece am văzut malware găzduit pe alte platforme în trecut.
Potrivit cercetării Universității de Științe Aplicate din Berna, Google și Cloudflare se numără în prezent printre rețele de top online de găzduire de programe malware.
Ca atare, întreaga industrie tehnologică trebuie să fie mai bine să găsească conținut rău intenționat găzduit pe serverele sale înainte de a căuta probleme în altă parte.
În orice caz, sperăm că acest incident va conduce Microsoft la o acțiune decisivă care poate ajuta la protejarea milioanelor de oameni și a mii de organizații de atacurile malware debilitante.
Ce părere aveți despre toată această situație? Împărtășește-ți părerea cu noi în secțiunea de comentarii de mai jos.
