I ricercatori di sicurezza hanno scoperto che Microsoft è probabilmente in grado di aprire e scansionare archivi ZIP crittografati archiviati su Onedrive o Sharepoint, a condizione che siano stati creati utilizzando Windows. Non ci sono informazioni ufficiali da parte di Microsoft sull'argomento.
È uno strumento popolare per gli attacchi informatici via e-mail: gli aggressori allegano un file ZIP crittografato e i programmi di sicurezza non possono eseguire la scansione del file ZIP. Tuttavia, questo non sembra essere il caso dei file creati e crittografati in Windows.
Scoperta accidentale: i ZIP vengono decifrati
Alcuni ricercatori di sicurezza hanno scoperto per caso che Microsoft potrebbe essere in grado di aprire i file ZIP crittografati, scansionarli ed eliminarli se contengono malware. I ricercatori si sono scambiati tramite e-mail vari campioni di malware per l'analisi e li hanno archiviati su OneDrive. Così lo riporta ArsTechnica. Tuttavia, i file ZIP crittografati per motivi di sicurezza sono stati eliminati da OneDrive dopo poco tempo e i ricercatori non ne hanno capito il motivo.
È diventato subito chiaro: i servizi cloud Microsoft cercano malware esaminando i file ZIP degli utenti, anche se sono protetti da password. Per il ricercatore di sicurezza Andrew, l'analisi dei file protetti da password negli ambienti cloud Microsoft è stata una sorpresa. Il ricercatore di sicurezza ha archiviato il malware in file ZIP protetti da password per molto tempo prima di condividerlo con altri ricercatori tramite SharePoint.
Parte della scoperta era già nota
Durante una discussione su Mastodon, è emerso che il collega ricercatore Kevin Beaumont ha affermato che Microsoft ha diversi metodi per scansionare il contenuto dei file ZIP protetti da password e li utilizza non solo per i file archiviati in SharePoint, ma per tutti i servizi cloud 365. Un modo è estrarre eventuali password dal corpo di un'e-mail o dal nome del file stesso. Un'altra opzione è testare il file per vedere se è protetto con una di un elenco di password esistente.
Hai un momento?
Dedica qualche minuto al nostro sondaggio tra gli utenti del 2023 e contribuisci a migliorare B2B-CYBER-SECURITY.de!Devi solo rispondere a 10 domande e hai la possibilità immediata di vincere premi da Kaspersky, ESET e Bitdefender.
Qui vai direttamente al sondaggio
"Se invii un messaggio di posta elettronica a te stesso e digiti qualcosa come 'ZIP password is Soph0s', zip EICAR e salvalo come ZIP password con Soph0s, la password viene trovata, estratta e sottoposta al rilevamento MS", ha scritto. Kevin Baumont ha dichiarato come eccezione una directory con file malware compressi e crittografati nel suo software endpoint. Non appena gli ZIP sono arrivati su Onedrive, sono stati eliminati nel cloud e sul laptop. Così ha perso molti importanti campioni di analisi. Successivamente, ha crittografato e archiviato molti ZIP con una nuova password. Questi sono stati poi archiviati su Onedrive o Sharepoint per mesi. All'improvviso anche questo file è stato contrassegnato come malware ed eliminato
Google lo fa in modo diverso?
ArsTechnica ha chiesto a un rappresentante di Google come gestisce i file ZIP: la società ha affermato di non eseguire la scansione di file ZIP protetti da password. Tuttavia, Gmail ha contrassegnato i ZIP quando gli utenti hanno ricevuto tale file. Inoltre, un ricercatore ha affermato che il suo account di lavoro gestito da Google Workspace gli ha impedito di inviare un file ZIP con tag e protetto da password.
Certo, i servizi cloud e le aziende vogliono proteggere gli utenti dal malware negli archivi crittografati. Allo stesso tempo, tuttavia, offrono a qualsiasi istituzione o governo un modo semplice per accedere rapidamente ai contenuti dei ZIP crittografati. I ricercatori sono ora passati alla crittografia a 256 bit, come quella fornita dallo strumento gratuito 7Zip, a condizione di scrivere un file "7z" invece di un file .ZIP. I ricercatori vogliono utilizzare lo strumento ZIP di Windows solo come puro strumento di compressione.
Rosso./sel