Експерти називають сервіси microsoft “великим у світі хостингом для шкідливого пз” – багато в чому завдяки зловживанню кіберзлочинцями майданчиками на кшталт office 365 і onedrive, а також іншими проектами компанії.

Експерт з кібербезпеки theanalyst розповів, що onedrive свого часу був хостингом, зокрема, для шкідливого проекту bazarloader, і звинуватив компанію в тому, що microsoft відомо про те, що вона зберігає в своїх хмарних сервісах сотні шкідливих файлів.

В рамках “проекту” bazarloader розсилався спам, покликаний обдурити одержувачів, змусивши їх запустити троян, перейшовши за посиланням. В даному випадку мова йде про iso-образі, що містив шкідливий dll-файл з вводить оману ярликом documents. Після запуску не виключена атака програми-вимагача сімейства conti.

За словами кевіна бомонта (kevin beaumont), який працював в microsoft одним з керівних фахівців з кібербезпеки з червня 2020-го по квітень 2021 року, нічого дивного в подібній ситуації немає. Експерт стверджує, що свого часу в компанії створили канал зв’язку з командою google drive, що дозволяє сповіщати про bazarloader, причому реакція на запити про видалення шкідливих посилань відбувалася буквально протягом хвилин. Тепер зловмисники перемістилися в інфраструктуру microsoft, і майже неможливо змусити компанію видалити файли.

Бомонт заявив наступне « ” microsoft не має права рекламувати себе в якості лідера в області безпеки з 8000 співробітників з відповідною спеціалізацією, що обробляють трильйони сигналів, якщо вони не можуть запобігти використанню власної платформи office 365 для прямого поширення здирницького пз conti. Зловживання onedrive триває роками”.

Сайт urlhaus, підтримуваний швейцарським проектом abuse.ch і інститутом кібербезпеки та інженерії бернського університету, містить статистику того, як багато часу йде на видалення шкідливого пз з моменту повідомлення хостингу про інцидент. Microsoft має найгіршу швидкість реакції серед десятка майданчиків, що зберігають більшість шкідливих url, – вона становить більше 29 днів. За даними сайту, платформи google містять ще більше шкідливих адрес і теж повільно реагують на повідомлення, але швидкість реакції помітно вище, ніж у microsoft, — «всього» 14 днів. Фахівці проекту припускають, що в центрі microsoft security response center процеси напевно не автоматизовані.

Відомо, що сайти на хостингу microsoft, що містять шкідливе пз, використовують спеціально створені з цією метою або вкрадені акаунти onedrive — досить часто шкідливий софт зберігається в скомпрометованих бізнес-акаунтах office 365.

За словами бомонта, автоматичне блокування підозрілих файлів хмарними провайдерами проблематична не тільки тому, що нові варіанти важко виявити, але й тому, що навіть пз, виявлене microsoft defender, не видаляється з onedrive автоматично. За деякими даними, в середньому на видалення шкідливого контенту йде від 2 днів до 4 місяців. Тому користувачам не варто сліпо довіряти посиланням, пов’язаним з доменами onedrive або google drive, і тим більше заносити їх в «білий список».

У microsoft відповідають, що зловживання хмарними сховищами — проблема, характерна для всієї індустрії, і компанія постійно працює над тим, щоб її сервіси завдавали найменшої шкоди. Компанія працює над подальшими удосконаленнями і запобіганням загроз, а також прискоренням часу відповіді на доповіді про них. У microsoft радять користувачам з обережністю клікати по посиланнях на веб-сторінки, відкривати незнайомі файли або підтверджувати передачу файлів невідомого походження. Про інциденти рекомендується повідомляти, використовуючи форму за посиланням .