Los investigadores de seguridad han descubierto que Microsoft probablemente pueda abrir y escanear archivos ZIP cifrados almacenados en Onedrive o Sharepoint, siempre que se hayan creado con Windows. No hay información oficial de Microsoft sobre el tema.
Es una herramienta popular para ataques cibernéticos por correo electrónico: los atacantes adjuntan un archivo ZIP encriptado y los programas de seguridad no pueden escanear el archivo ZIP. Sin embargo, este no parece ser el caso de los archivos creados y cifrados en Windows.
Descubrimiento accidental: los ZIP se descifran
Algunos investigadores de seguridad descubrieron accidentalmente que Microsoft podría abrir los ZIP cifrados, escanearlos y eliminarlos si contienen malware. Los investigadores se enviaron por correo electrónico varias muestras de malware para su análisis y las almacenaron en OneDrive. Así lo informa arstechnica. Sin embargo, los archivos ZIP cifrados por seguridad se eliminaron de OneDrive al poco tiempo y los investigadores no entendían por qué.
Rápidamente quedó claro: los servicios en la nube de Microsoft escanean en busca de malware examinando los archivos ZIP de los usuarios, incluso si están protegidos con contraseña. Para el investigador de seguridad Andrew, el análisis de archivos protegidos con contraseña en entornos de nube de Microsoft fue una sorpresa. El investigador de seguridad archivó el malware en archivos ZIP protegidos con contraseña durante mucho tiempo antes de compartirlo con otros investigadores a través de SharePoint.
Ya se sabía parte del descubrimiento
Durante una discusión sobre Mastodon, surgió que el investigador Kevin Beaumont dijo que Microsoft tiene múltiples métodos para escanear el contenido de los archivos ZIP protegidos con contraseña y los usa no solo para los archivos almacenados en SharePoint, sino para todos los servicios en la nube 365. Una forma es extraer posibles contraseñas del cuerpo de un correo electrónico o del propio nombre del archivo. Otra opción es probar el archivo para ver si está protegido con una de una lista existente de contraseñas.
¿Tienes un momento?
Tómese unos minutos para nuestra encuesta de usuarios de 2023 y ayude a mejorar B2B-CYBER-SECURITY.de!Solo tiene que responder 10 preguntas y tiene la oportunidad inmediata de ganar premios de Kaspersky, ESET y Bitdefender.
Aquí vas directo a la encuesta
"Si se envía algo por correo electrónico y escribe algo como 'La contraseña ZIP es Soph0s', comprime EICAR y guárdalo como una contraseña ZIP con Soph0s, la contraseña se encuentra, se extrae y se envía a la detección de MS", escribió. Kevin Baumont declaró como excepción un directorio con archivos de malware comprimidos y cifrados en su software de terminal. Tan pronto como los ZIP llegaron a Onedrive, se eliminaron en la nube y en la computadora portátil. Así que perdió muchas muestras de análisis importantes. Después de eso, encriptó y archivó muchos ZIP con una nueva contraseña. Luego, estos se almacenaron en Onedrive o Sharepoint durante meses. De repente, este archivo también se marcó como malware y se eliminó.
¿Google lo hace diferente?
arstechnica preguntó a un representante de Google cómo maneja los archivos ZIP: la empresa dijo que no analiza los archivos ZIP protegidos con contraseña. Sin embargo, Gmail marcaba los ZIP cuando los usuarios recibían dicho archivo. Además, un investigador afirmó que su cuenta de trabajo administrada por Google Workspace le impedía enviar un archivo ZIP etiquetado y protegido con contraseña.
Claro, los servicios en la nube y las empresas quieren proteger a los usuarios del malware en archivos cifrados. Sin embargo, al mismo tiempo, tienen una manera fácil para que cualquier institución o gobierno acceda rápidamente al contenido de los ZIP cifrados. Los investigadores ahora han cambiado al cifrado de 256 bits, como el que proporciona la herramienta gratuita 7Zip, siempre que escriba un archivo "7z" en lugar de un archivo .ZIP. Los investigadores solo quieren usar la herramienta ZIP de Windows como una herramienta de compresión pura.
Rojo./sel.