- Microsoft знову в центрі величезного скандалу з високим ризиком.
- Колишній аналітик з безпеки вирішив викрити технологічного гіганта.
- Office 365 навмисно розміщує шкідливе програмне забезпечення протягом багатьох років.
- Це насправді може стати величезним хітом для компанії Редмонд.
Тримайте свої сидіння та тримайте руки в кареті весь час, тому що ця поїздка ось-ось стане нерівною.
Британський технічний дослідник, який через кілька місяців припинив роботу аналітика загроз безпеки в Microsoft назад, закликав свого колишнього роботодавця діяти швидко та видалити посилання на програми-вимагачі на своєму Office365 платформа.
Б’юся об заклад, ви не бачили цього, чи не так?
Колишній співробітник Microsoft розкриває схему програм-вимагачів
У твіті, надісланому в п'ятницю, Бомонт сказав, що Microsoft не може рекламувати себе як лідера безпеки з 8000 систем безпеки. співробітників і трильйони сигналів, якщо вони не зможуть запобігти безпосередньому використанню власної платформи Office365 для запуску Conti програми-вимагачі.
Перш ніж приїде поїзд співробітників MS із словами «просто повідомте про це», спробуйте зняти їх та майбутніх. Я робив. Це була катастрофа.
Перевірте середній час реакції Microsoft (на повідомлення про зловживання). Завдяки O365 вони є найкращим у світі хостингом шкідливих програм протягом приблизно десяти років. pic.twitter.com/95Riv0kmDg
— Кевін Бомонт (@GossiTheDog) 15 жовтня 2021 року
Він, звісно, відповідав на твіт від професіонала з інфосек за допомогою ручки TheAnalyst.
Ви всі читали як #BazarLoader#BazaLoader призводить до #вимагачі, зокрема #conti це не хвилює, що вони націлені на охорону здоров’я тощо? Чи @Microsoft чи маєте за це будь-яку відповідальність, коли вони СВІДОМО розміщують сотні файлів, що призводять до цього, тепер уже більше трьох днів? https://t.co/UxTDYVIXJFpic.twitter.com/uHUxzHRV8W
— TheAnalyst (@ffforward) 15 жовтня 2021 року
Згідно з Служба безпеки Palo Alto Networks, BazarLoader (іноді відома як BazaLoader) є шкідливим програмним забезпеченням, яке надає бекдор-доступ до зараженого хоста Windows.
Після зараження клієнта зловмисники використовують цей бэкдор для надсилання подальших шкідливих програм, сканування середовища та використання інших вразливих хостів у мережі.
Переважна більшість програм-вимагачів атакує лише Windows, а аналіз, проведений співробітниками бази даних VirusTotal, що належить Google, показав, що 95% із 80 мільйонів зразків було проаналізовано.
VirusTotal – це сайт, на який дослідники безпеки можуть надіслати будь-яке програмне забезпечення-вимагач, яке вони знайдуть, і просканувати його антивірусними системами, щоб перевірити, чи можна його ідентифікувати.
Бомонт, який має заслужену репутацію дослідника, який швидко визнає недоліки у своїй власній галузі, визнав, що інші технологічні компанії також зіграли велику роль у розміщенні шкідливого програмного забезпечення.
Він також сказав, що у відповідях від Microsoft хтось каже, що коли Defender виявляє щось, вони автоматично видаляються в OneDrive.
Це категорично невірно, такої функціональності немає. Microsoft потрібно довго і ретельно розглянути цю проблему.
Ось так. Давайте подивимося, скільки часу знадобиться MS, щоб видалити ці 867 шкідливих сайтів. Схрещу пальці 🤞
Для запису, найстаріший активний сайт зловмисного програмного забезпечення віком 19 місяців розміщено на Sharepoint і обслуговує GuLoader:
👉 https://t.co/QGqi21z7JOpic.twitter.com/7FlkaZasP4
— abuse.ch (@abuse_ch) 16 жовтня 2021 року
Згідно з цими останніми звинуваченнями, Bazarloader перейшов з Google Drive на OneDrive.
Колись їхній вміст майже миттєво видаляли з Google Drive, оскільки ми, Microsoft, повідомили про це Google. Через кілька днів він все ще знаходиться в мережі OneDrive, незважаючи на те, що про нього повідомляють, тому що Microsoft перевіряє його. Полагодьте це.
На запитання Лі Холмса, головного архітектора безпеки Azure Security, чи повідомляв він про це Microsoft, Бомонт сказав, що швейцарський дослідник зробив це.
Мені довелося відправити список речей до CERT, не отримати нікуди, відправити в DSRE, не отримати нікуди, копію в менеджери тощо. O365 має https://abuse.ch видалення, що очікується місяцями.
Бомонт додав, що ставлення Microsoft до присутності шкідливого програмного забезпечення на її платформі Office365 було таким протягом багатьох років.
@ffforward Ви повідомляли про це? Існують широкі системи для боротьби зі шкідливим вмістом (включаючи API повідомлення про зловживання)https://t.co/cSRbLEiLKn
— Лі Холмс (@Lee_Holmes) 15 жовтня 2021 року
Однак це не виняткова проблема Microsoft і не нова проблема, оскільки в минулому ми бачили зловмисне програмне забезпечення, розміщене на інших платформах.
Згідно з дослідженнями Бернського університету прикладних наук, Google і Cloudflare наразі є одними з них найпопулярніші мережі розміщення шкідливих програм.
Таким чином, уся технологічна галузь повинна краще знайти шкідливий вміст, розміщений на своїх серверах, перш ніж шукати проблеми в іншому місці.
У будь-якому випадку, сподіваємося, цей інцидент змусить Microsoft до рішучих дій, які можуть допомогти захистити мільйони людей і тисячі організацій від виснажливих атак зловмисного програмного забезпечення.
Як ви ставитеся до всієї цієї ситуації? Поділіться з нами своєю думкою в розділі коментарів нижче.
