- Microsoft je opäť v centre obrovského vysoko rizikového škandálu.
- Bývalý bezpečnostný analytik sa rozhodol odhaliť technologického giganta.
- Office 365 už roky zámerne hostí malvér.
- Pre spoločnosť z Redmondu by to v skutočnosti mohol byť obrovský hit.
Držte sa svojich sedadiel a majte ruky stále vo vnútri koča, pretože táto jazda bude hrboľatá.
Britský technologický výskumník, ktorý pred niekoľkými mesiacmi prestal pracovať ako analytik bezpečnostných hrozieb v spoločnosti Microsoft späť, vyzval svojho bývalého zamestnávateľa, aby konal rýchlo a odstránil odkazy na ransomvér na svojom Office365 plošina.
Stavte sa, že ste to nevideli, však?
Bývalý zamestnanec Microsoftu odhalil schému ransomvéru
V tweete odoslanom v piatok Beaumont uviedol, že Microsoft sa nemôže propagovať ako bezpečnostný líder s bezpečnosťou 8000 zamestnancov a bilióny signálov, ak nedokážu zabrániť priamemu použitiu vlastnej platformy Office365 na spustenie Conti ransomvér.
Predtým, ako príde vlak zamestnancov MS, ktorí hovoria „len to nahláste“, skúste ich a budúcich zlikvidovať sami. Urobil som. Bola to katastrofa.
Pozrite si priemerný reakčný čas spoločnosti Microsoft (nahlásenia o zneužití). Sú najlepším hostiteľom škodlivého softvéru na svete už asi desať rokov vďaka O365. pic.twitter.com/95Riv0kmDg
— Kevin Beaumont (@GossiTheDog) 15. október 2021
Samozrejme reagoval na tweet od profesionála z infosec pomocou rukoväte TheAnalyst.
Všetci ste si prečítali ako #BazarLoader#BazaLoader vedie k #ransomware, najmä #conti že je jedno, že sa zameriavajú na zdravotníctvo atď? robí @Microsoft majú v tom nejakú zodpovednosť, keď VEDOME hostujú stovky súborov, ktoré k tomu vedú, už viac ako tri dni? https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W
— TheAnalyst (@ffforward) 15. október 2021
Podľa bezpečnostná spoločnosť Palo Alto Networks, BazarLoader (niekedy označovaný ako BazaLoader) je malvér, ktorý poskytuje backdoor prístup k infikovanému hostiteľovi Windows.
Potom, čo je klient infikovaný, zločinci využívajú tento backdoor prístup na odosielanie následného malvéru, skenovanie prostredia a zneužívanie iných zraniteľných hostiteľov v sieti.
Prevažná väčšina ransomvéru útočí iba na Windows, pričom analýza vykonaná pracovníkmi databázy VirusTotal vo vlastníctve spoločnosti Google minulý štvrtok ukázala, že bolo analyzovaných 95 % z 80 miliónov vzoriek.
VirusTotal je stránka, na ktorú môžu bezpečnostní výskumníci odoslať akýkoľvek ransomvér, ktorý nájdu, a nechať ho skenovať antivírusovými nástrojmi, aby zistili, či ho možno identifikovať.
Beaumont, ktorý má zaslúženú povesť výskumníka, ktorý rýchlo priznáva chyby vo svojom vlastnom odvetví, uznal, že pri hosťovaní malvéru zohrali veľkú úlohu aj iné technologické spoločnosti.
Povedal tiež, že v odpovediach od Microsoftu je niekto, kto hovorí, že keď Defender zistí veci, automaticky sa odstránia vo OneDrive.
To kategoricky nie je pravda, táto funkcia tam nie je. Microsoft sa musí na tento problém pozrieť dlho a dôkladne.
Nech sa páči. Pozrime sa, ako dlho trvá spoločnosti MS, kým odstráni týchto 867 stránok so škodlivým softvérom. Držím palce 🤞
Pre záznam, najstaršia aktívna stránka so škodlivým softvérom vo veku 19 mesiacov je hosťovaná na Sharepointe a slúži GuLoader:
👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4
— zneužívanie.ch (@abuse_ch) 16. október 2021
Bazarloader sa podľa týchto nedávnych obvinení presunul z Disku Google na OneDrive.
Ich obsah bol z Disku Google stiahnutý takmer okamžite, pretože my, spoločnosť Microsoft, sme to oznámili spoločnosti Google. Je stále online, o niekoľko dní neskôr, na OneDrive napriek tomu, že bol nahlásený, pretože spoločnosť Microsoft s tým tápa. Opraviť to.
Na otázku Lee Holmesa, hlavného bezpečnostného architekta pre Azure Security, či to oznámil Microsoftu, Beaumont povedal, že švajčiarsky výskumník tak urobil.
Musel som urobiť zoznam vecí, poslať do CERT, dostať sa nikam, poslať do DSRE, dostať sa nikam, cc v manažéroch atď. O365 má https://abuse.ch zastavenie šírenia čakajúce mesiace.
Beaumont dodal, že postoj Microsoftu k prítomnosti malvéru na platforme Office365 bol taký už roky.
@ffforward Nahlásili ste to? Existujú rozsiahle systémy na riešenie škodlivého obsahu (vrátane rozhrania API na hlásenie zneužitia)https://t.co/cSRbLEiLKn
— Lee Holmes (@Lee_Holmes) 15. október 2021
Nejde však o problém exkluzívny pre spoločnosť Microsoft, ani o nový problém, keďže v minulosti sme videli malvér hostený na iných platformách.
Podľa výskumu Bernskej univerzity aplikovaných vied patria v súčasnosti medzi tie spoločnosti Google a Cloudflare špičkové online siete na hosťovanie škodlivého softvéru.
Ako taký musí celý technický priemysel lepšie hľadať škodlivý obsah hostený na jeho serveroch, než bude hľadať problémy inde.
V každom prípade dúfajme, že tento incident privedie Microsoft k rozhodným krokom, ktoré môžu pomôcť ochrániť milióny ľudí a tisíce organizácií pred oslabujúcimi útokmi škodlivého softvéru.
Aký je váš názor na celú túto situáciu? Podeľte sa s nami o svoj názor v sekcii komentárov nižšie.
