Les chercheurs en sécurité ont découvert que Microsoft est probablement capable d'ouvrir et d'analyser les archives ZIP cryptées stockées sur Onedrive ou Sharepoint - tant qu'elles ont été créées à l'aide de Windows. Il n'y a aucune information officielle de Microsoft sur le sujet.
C'est un outil populaire pour les cyberattaques par e-mail : les attaquants joignent un fichier ZIP crypté et les programmes de sécurité ne peuvent pas analyser le fichier ZIP. Cependant, cela ne semble pas être le cas pour les fichiers créés et chiffrés sous Windows.
Découverte accidentelle : les ZIP sont déchiffrés
Certains chercheurs en sécurité ont accidentellement découvert que Microsoft pourrait être en mesure d'ouvrir les ZIP cryptés, de les analyser et de les supprimer s'ils contiennent des logiciels malveillants. Les chercheurs se sont envoyé par e-mail divers échantillons de logiciels malveillants pour analyse et les ont stockés sur OneDrive. Alors le rapporte ArsTechnica. Cependant, les fichiers ZIP cryptés pour la sécurité ont été supprimés de OneDrive après un court laps de temps et les chercheurs n'ont pas compris pourquoi.
C'est rapidement devenu clair : les services cloud de Microsoft recherchent les logiciels malveillants en examinant les fichiers ZIP des utilisateurs, même s'ils sont protégés par un mot de passe. Pour le chercheur en sécurité Andrew, l'analyse des fichiers protégés par mot de passe dans les environnements cloud de Microsoft a été une surprise. Le chercheur en sécurité a longtemps archivé les logiciels malveillants dans des fichiers ZIP protégés par mot de passe avant de les partager avec d'autres chercheurs via SharePoint.
Une partie de la découverte était déjà connue
Au cours d'une discussion sur Mastodon, il est apparu que son collègue chercheur Kevin Beaumont a déclaré que Microsoft dispose de plusieurs méthodes pour analyser le contenu des fichiers ZIP protégés par mot de passe et les utilise non seulement pour les fichiers stockés dans SharePoint, mais pour tous les 365 services cloud. Une façon consiste à extraire les mots de passe possibles du corps d'un e-mail ou du nom du fichier lui-même. Une autre option consiste à tester le fichier pour voir s'il est protégé par l'un des mots de passe d'une liste existante.
As-tu un instant?
Prenez quelques minutes pour notre enquête auprès des utilisateurs 2023 et contribuez à améliorer B2B-CYBER-SECURITY.de!Vous n'avez qu'à répondre à 10 questions et vous avez une chance immédiate de gagner des prix de Kaspersky, ESET et Bitdefender.
Ici, vous accédez directement à l'enquête
"Si vous vous envoyez quelque chose par e-mail et tapez quelque chose comme 'le mot de passe ZIP est Soph0s', compressez EICAR et enregistrez-le en tant que mot de passe ZIP avec Soph0s, le mot de passe est trouvé, extrait et soumis à la détection MS", a-t-il écrit. Kevin Baumont a déclaré un répertoire contenant des fichiers malveillants compressés et cryptés dans son logiciel de terminal comme une exception. Dès que les ZIP sont arrivés sur Onedrive, ils ont été supprimés dans le cloud et sur l'ordinateur portable. Il a donc perdu de nombreux échantillons d'analyse importants. Après cela, il a chiffré et classé de nombreux ZIP avec un nouveau mot de passe. Ceux-ci ont ensuite été stockés sur Onedrive ou Sharepoint pendant des mois. Soudain, ce fichier a également été marqué comme logiciel malveillant et supprimé
Google procède-t-il différemment ?
ArsTechnica a demandé à un représentant de Google comment il gère les fichiers ZIP : la société a déclaré qu'elle n'analyse pas les fichiers ZIP protégés par mot de passe. Cependant, Gmail marquait les ZIP lorsque les utilisateurs recevaient un tel fichier. De plus, un chercheur a déclaré que son compte professionnel géré par Google Workspace l'empêchait d'envoyer un fichier ZIP marqué et protégé par un mot de passe.
Bien sûr, les services cloud et les entreprises veulent protéger les utilisateurs contre les logiciels malveillants dans les archives cryptées. En même temps, cependant, ils ont un moyen facile pour toute institution ou gouvernement d'accéder rapidement au contenu des ZIP cryptés. Les chercheurs sont désormais passés au cryptage 256 bits, comme celui fourni par l'outil gratuit 7Zip, à condition d'écrire un fichier « 7z » au lieu d'un fichier .ZIP. Les chercheurs souhaitent uniquement utiliser l'outil Windows ZIP comme un pur outil de compression.
Rouge./sel