- Microsoft снова оказалась в центре огромного скандала с высоким риском.
- Бывший аналитик по безопасности решил разоблачить технологического гиганта.
- В Office 365 намеренно размещались вредоносные программы в течение многих лет.
- Это могло бы стать настоящим хитом для компании Redmond.
Держитесь за свои сиденья и все время держите руки внутри кареты, потому что эта поездка вот-вот станет ухабистой.
Британский технический исследователь, который через несколько месяцев уволился из Microsoft в качестве аналитика угроз безопасности. назад, призвал своего бывшего работодателя действовать быстро и удалить ссылки на программы-вымогатели в своем Office365. Платформа.
Спорим, ты не ожидал этого, не так ли?
Бывший сотрудник Microsoft раскрыл схему вымогательства
В твите, отправленном в пятницу, Бомонт сказал, что Microsoft не может рекламировать себя как лидера безопасности с 8000 security. сотрудников и триллионы сигналов, если они не могут предотвратить прямое использование собственной платформы Office365 для запуска Conti. программа-вымогатель.
До того, как приедет поезд сотрудников MS, говорящих «просто сообщите об этом», постарайтесь устранить их и будущих сотрудников самостоятельно. Я сделал. Это была катастрофа.
Проверьте среднее время реакции Microsoft (на сообщения о злоупотреблениях). Благодаря O365, они около десяти лет являются лучшими поставщиками вредоносных программ в мире. pic.twitter.com/95Riv0kmDg
- Кевин Бомонт (@GossiTheDog) 15 октября 2021 г.
Он, конечно же, отвечал на твит от специалиста по информационной безопасности, использовавшего дескриптор TheAnalyst.
Вы все читали, как #BazarLoader#BazaLoader приводит к #ransomware, особенно #conti это не волнует, что они нацелены на здравоохранение и т. д.? Делает @Microsoft несут какую-либо ответственность за это, когда они ЗНАЧИТЕЛЬНО размещают сотни файлов, ведущих к этому, теперь уже более трех дней? https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W
- Аналитик (@ffforward) 15 октября 2021 г.
В соответствии с Компания по обеспечению безопасности Palo Alto Networks, BazarLoader (иногда называемая BazaLoader) - это вредоносная программа, которая обеспечивает бэкдор-доступ к зараженному хосту Windows.
После заражения клиента злоумышленники используют этот бэкдор для отправки последующих вредоносных программ, сканирования среды и использования других уязвимых узлов в сети.
Подавляющее большинство программ-вымогателей атакуют только Windows. Анализ, проведенный в прошлый четверг сотрудниками базы данных VirusTotal, принадлежащей Google, показал, что было проанализировано 95% из 80 миллионов образцов.
VirusTotal - это сайт, на котором исследователи безопасности могут отправлять любые обнаруженные программы-вымогатели и проверять их антивирусными механизмами, чтобы определить, можно ли их идентифицировать.
Бомонт, имеющий заслуженную репутацию исследователя, который быстро признает ошибки в своей отрасли, признал, что другие технологические компании также сыграли большую роль в размещении вредоносных программ.
Он также сказал, что в ответах Microsoft есть кто-то, кто говорит, что когда что-то обнаруживается Defender, они автоматически удаляются в OneDrive.
Это категорически неправда, такой функциональности нет. Microsoft необходимо долго и внимательно изучить эту проблему.
Вот и все. Давайте посмотрим, сколько времени потребуется MS, чтобы удалить эти 867 вредоносных сайтов. Скрещиваю пальцы 🤞
Для справки, самый старый сайт активного вредоносного ПО с возрастом 19 месяцев размещен на Sharepoint и обслуживает GuLoader:
👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4
- abuse.ch (@abuse_ch) 16 октября 2021 г.
Согласно этим недавним утверждениям, Bazarloader перешел с Google Диска на OneDrive.
Раньше их контент удалялся с Google Диска почти мгновенно, потому что мы, Microsoft, сообщили об этом в Google. Спустя несколько дней он все еще находится в сети на OneDrive, несмотря на то, что о нем сообщается, потому что Microsoft пытается с этим справиться. Почини это.
На вопрос Ли Холмса, главного архитектора безопасности Azure Security, сообщил ли он об этом в Microsoft, Бомонт ответил, что это сделал швейцарский исследователь.
Мне нужно было отправить список вещей в CERT, получить никуда, отправить в DSRE, получить никуда, cc в менеджерах и т. Д. O365 имеет https://abuse.ch убийства ожидаются в течение нескольких месяцев.
Бомонт добавил, что отношение Microsoft к присутствию вредоносных программ на своей платформе Office365 было таким в течение многих лет.
@ffforward Вы сообщили об этом? Существуют обширные системы для борьбы с вредоносным контентом (включая API сообщений о злоупотреблениях).https://t.co/cSRbLEiLKn
- Ли Холмс (@Lee_Holmes) 15 октября 2021 г.
Однако это не проблема исключительно Microsoft и не новая проблема, поскольку в прошлом мы видели вредоносные программы, размещенные на других платформах.
Согласно исследованию Бернского университета прикладных наук, Google и Cloudflare в настоящее время входят в топовые сети хостинга вредоносного ПО.
Таким образом, вся технологическая отрасль должна лучше находить вредоносный контент, размещенный на ее серверах, прежде чем искать проблемы в других местах.
В любом случае, хотелось бы надеяться, что этот инцидент подтолкнет Microsoft к решительным действиям, которые помогут защитить миллионы людей и тысячи организаций от изнурительных атак вредоносного ПО.
Как вы относитесь ко всей этой ситуации? Поделитесь с нами своим мнением в разделе комментариев ниже.
