- Microsoft je spet v središču velikega škandala z visokim tveganjem.
- Nekdanji varnostni analitik se je odločil razkriti tehnološkega velikana.
- Office 365 že leta namerno gosti zlonamerno programsko opremo.
- To bi dejansko lahko bil velik hit za podjetje Redmond.
Držite se za svoje sedeže in imejte roke ves čas v kočiji, ker bo ta vožnja kmalu postala grbina.
Britanski tehnološki raziskovalec, ki je nekaj mesecev nehal delati kot analitik varnostnih groženj pri Microsoftu nazaj, je svojega nekdanjega delodajalca pozval, naj hitro ukrepa in odstrani povezave do izsiljevalske programske opreme na svojem Office365 platforma.
Stavim, da tega niste videli, kajne?
Nekdanji Microsoftov uslužbenec razkrije shemo izsiljevalske programske opreme
V tvitu, poslanem v petek, je Beaumont dejal, da se Microsoft ne more oglaševati kot vodilni varnostni vodja z varnostjo 8000 zaposlenih in bilijone signalov, če ne morejo preprečiti, da bi se njihova lastna platforma Office365 uporabljala neposredno za zagon Conti ransomware.
Preden prispe vlak zaposlenih iz MS, ki pravijo 'samo poročajte', poskusite sami odstraniti njih in bodoče. Jaz sem. To je bila katastrofa.
Preverite Microsoftov povprečni reakcijski čas (za poročila o zlorabi). Zaradi O365 so najboljši gostitelj zlonamerne programske opreme na svetu že približno desetletje. pic.twitter.com/95Riv0kmDg
— Kevin Beaumont (@GossiTheDog) 15. oktober 2021
Seveda se je odzval na tvit strokovnjaka za infosec z uporabo ročaja TheAnalyst.
Vsi ste prebrali, kako #BazarLoader#BazaLoader vodi do #ransomware, še posebej #conti ki jim je vseeno, da ciljajo na zdravstvo itd? Ali @Microsoft ali imajo za to kakršno koli odgovornost, ko ZAVEDA gostijo na stotine datotek, ki vodijo do tega, zdaj že več kot tri dni? https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W
— TheAnalyst (@ffforward) 15. oktober 2021
Po navedbah varnostno podjetje Palo Alto Networks, BazarLoader (včasih imenovano BazaLoader) je zlonamerna programska oprema, ki omogoča dostop iz zalednih vrat do okuženega gostitelja Windows.
Ko je odjemalec okužen, kriminalci uporabljajo ta dostop do zakulisja za pošiljanje nadaljnje zlonamerne programske opreme, skeniranje okolja in izkoriščanje drugih ranljivih gostiteljev v omrežju.
Velika večina izsiljevalske programske opreme napada samo Windows, pri čemer je analiza osebja podatkovne baze VirusTotal v lasti Googla prejšnji četrtek pokazala, da je bilo analiziranih 95 % od 80 milijonov vzorcev.
VirusTotal je spletno mesto, kjer lahko varnostni raziskovalci predložijo kakršno koli izsiljevalsko programsko opremo, ki jo najdejo, in jo pregledajo protivirusni motorji, da ugotovijo, ali jo je mogoče identificirati.
Beaumont, ki ima zaslužen sloves raziskovalca, ki hitro prizna napake v svoji panogi, je priznal, da so pri gostovanju zlonamerne programske opreme veliko vlogo igrala tudi druga tehnološka podjetja.
Povedal je tudi, da je nekdo v odgovorih Microsofta, ki pravi, da ko Defender stvari zazna, se samodejno odstranijo v OneDrive.
To kategorično ne drži, te funkcionalnosti ni. Microsoft mora to težavo obravnavati dolgo in temeljito.
Izvolite. Poglejmo, koliko časa traja, da MS odstrani teh 867 spletnih mest z zlonamerno programsko opremo. Držim pesti 🤞
Za zapisnik, najstarejše aktivno spletno mesto z zlonamerno programsko opremo, staro 19 mesecev, gostuje na Sharepointu in ponuja GuLoader:
👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4
— abuse.ch (@abuse_ch) 16. oktober 2021
Bazarloader se je glede na te nedavne obtožbe preselil iz Google Drive v OneDrive.
Njihovo vsebino so včasih skoraj takoj odstranili z Google Drive, ker smo jo, Microsoft, prijavili Googlu. Še vedno je na spletu, nekaj dni pozneje, na OneDrive, kljub temu, da so ga prijavili, ker ga Microsoft brska. Popravi.
Na vprašanje Leeja Holmesa, glavnega varnostnega arhitekta za Azure Security, ali je to prijavil Microsoftu, je Beaumont dejal, da je švicarski raziskovalec to storil.
Moral sem narediti seznam stvari, poslati na CERT, priti nikamor, poslati v DSRE, priti nikamor, cc v upravitelje itd. O365 ima https://abuse.ch odstranitve čakajo več mesecev.
Beaumont je dodal, da je bil Microsoftov odnos do prisotnosti zlonamerne programske opreme na njegovi platformi Office365 takšen že leta.
@ffforward Ali ste to prijavili? Obstajajo obsežni sistemi za obravnavanje zlonamerne vsebine (vključno z API-jem za poročanje o zlorabah)https://t.co/cSRbLEiLKn
— Lee Holmes (@Lee_Holmes) 15. oktober 2021
Vendar to ni izključna težava Microsofta niti nova težava, saj smo v preteklosti videli zlonamerno programsko opremo, ki je gostovala na drugih platformah.
Glede na raziskavo Univerze za uporabne znanosti v Bernu sta Google in Cloudflare trenutno med najboljša spletna omrežja za gostovanje zlonamerne programske opreme.
Celotna tehnološka industrija mora biti zato boljša pri iskanju zlonamerne vsebine, ki gostuje na njenih strežnikih, preden išče težave drugje.
Vsekakor upajmo, da bo ta incident spodbudil Microsoft k odločnemu ukrepanju, ki lahko pomaga zaščititi milijone ljudi in na tisoče organizacij pred izčrpavajočimi napadi zlonamerne programske opreme.
Kakšno je vaše mnenje o vsej tej situaciji? Delite svoje mnenje z nami v spodnjem razdelku za komentarje.
