Известный ИБ-эксперт Кевин Бомонт, который работал в Microsoft аналитиком угроз (с июня 2020 года по апрель 2021 года), раскритиковал компанию за то, что она не борется со злоупотреблениями OneDrive и Office 365. Дело в том, что сервисы Microsoft постоянно используются для размещения вредоносное ПО. Обычно для этого применяются учетные записи OneDrive, которые могли быть созданы специально для этой цели или украдены у законных пользователей. Также часто можно увидеть малварь, размещенную в корпоративных учетных записях Office 365, которые ранее были скомпрометированы.
Все началось со свежего отчета ИБ-эксперта, известного как TheAnalyst, в котором злоупотреблениям сервисами Microsoft отводилось отдельное место. Тот писал, что, например, операторы малвари BazarLoader размещают свое вредоносное ПО в Microsoft OneDrive и задавался вопросом: «Несет ли Microsoft какую-то ответственность за это, если они УМЫШЛЕННО, более трех дней размещают сотни файлов, ведущих к этому [к заражению BazarLoader]?».
Напомню, что заражение BazarLoader осуществляется через спамерские письма. Злоумышленники стремятся обманом заставить получателей таких посланий открыть троянизированную ссылку. В данном случае речь шла о файле ISO, содержащем вредоносную DLL с вводящим в заблуждение ярлыком под названием «Documents». Запуск такого вредоноса, как правило, заканчивается атакой вымогателя Conti.
В отчет на закономерные претензии TheAnalyst в Twitter Бомонт ответил следующее:
Также Бомонт добавляет:
Стоит сказать, что сайт URLhaus, поддерживаемый швейцарским проектом abuse.ch при Институте кибербезопасности и инженерии Бернского университета, ведет статистику, которая подтверждает слова экспертов. Так, по последним данным, Microsoft показывает наихудшее время реакции на малварь среди топ-10 сайтов, на которых размещено больше всего вредоносных URL. На удаление малвари Microsoft обычно требуется более 29 дней.
Google тоже страдает от вредоносных программ и тоже удаляет их медленно, в среднем за 14 дней, но это все равно вдвое быстрее, чем Microsoft.
Представители Microsoft уже обратили внимание на критику специалистов и дали следующий комментарий, относительно сложившейся ситуации:
«Злоупотребление облачными хранилищами — проблема всей отрасли, и мы постоянно работаем над сокращением злоупотреблений сервисами Microsoft. Мы изучаем дальнейшие возможные улучшения, чтобы предотвращать и быстро реагировать на различные типы злоупотреблений, перечисленные в этом отчете».
Также в компании отмечают, что всегда советуют клиентам проявлять осторожность при переходе по ссылкам на страницы, открытии или принятии неизвестных файлов.
