Microsoftは暗号化されたZIPファイルを開くことができます

セキュリティ研究者は、Microsoft が Windows を使用して作成されたものである限り、Onedrive または Sharepoint に保存されている暗号化 ZIP アーカイブを開いてスキャンできる可能性があることを発見しました。 この件に関する Microsoft からの公式情報はありません。

これは電子メールを介したサイバー攻撃でよく使われるツールです。攻撃者は暗号化された ZIP ファイルを添付しますが、セキュリティ プログラムは ZIP ファイルをスキャンできません。 ただし、これは Windows で作成および暗号化されたファイルには当てはまらないようです。

偶然の発見: ZIP が復号化される

一部のセキュリティ研究者は、Microsoft が暗号化された ZIP を開いてスキャンし、マルウェアが含まれている場合は削除できる可能性があることを偶然発見しました。 研究者らは分析のためにさまざまなマルウェア サンプルを電子メールで送信し、OneDrive に保存しました。 それで報告します アルテクニカ。 ただし、セキュリティのために暗号化された ZIP ファイルはしばらくすると OneDrive から削除されましたが、研究者らはその理由を理解していませんでした。

それはすぐに明らかになりました。Microsoft クラウド サービスは、パスワードで保護されている場合でも、ユーザーの ZIP ファイルを調べてマルウェアをスキャンします。 セキュリティ研究者の Andrew にとって、Microsoft クラウド環境にあるパスワードで保護されたファイルの分析は驚きでした。 セキュリティ研究者は、SharePoint 経由で他の研究者と共有する前に、マルウェアをパスワードで保護された ZIP ファイルに長期間アーカイブしました。

発見の一部はすでに知られていました

マストドンに関する議論の中で、研究仲間のケビン・ボーモント氏が、マイクロソフトはパスワードで保護されたZIPファイルの内容をスキャンするための複数の方法を用意しており、それらの方法をSharePointに保存されているファイルだけでなく、365のクラウドサービスすべてに使用していると述べたことが明らかになった。 XNUMX つの方法は、電子メールの本文またはファイル自体の名前からパスワードの候補を抽出することです。 もう XNUMX つのオプションは、ファイルをテストして、既存のパスワード リストのいずれかで保護されているかどうかを確認することです。

 

「自分宛てに何かを電子メールで送信し、『ZIP パスワードは Soph0s』などと入力し、EICAR を圧縮して、Soph0s を使用して ZIP パスワードとして保存すると、パスワードが検出され、抽出されて MS 検出に送信されます。」と彼は書いています。 Kevin Baumont は、エンドポイント ソフトウェア内の圧縮および暗号化されたマルウェア ファイルを含むディレクトリを例外として宣言しました。 ZIP が Onedrive に来るとすぐに、クラウドとラップトップ上で削除されました。 そのため、彼は多くの重要な分析サンプルを失いました。 その後、彼は多くの ZIP を新しいパスワードで暗号化してファイルしました。 これらはその後、Onedrive または Sharepoint に数か月間保存されました。 突然、このファイルもマルウェアとしてマークされ、削除されました

Googleはやり方が違うのでしょうか？

アルテクニカ グーグルの担当者にZIPファイルをどのように扱うのか尋ねたところ、同社はパスワードで保護されたZIPファイルをスキャンしていないと述べた。 ただし、Gmail は、ユーザーがそのようなファイルを受信したときに ZIP にマークを付けました。 さらに、ある研究者は、Google Workspace で管理されている仕事用アカウントのせいで、タグ付きでパスワードで保護された ZIP ファイルを送信できないと述べました。

確かに、クラウド サービスや企業は、暗号化されたアーカイブ内のマルウェアからユーザーを保護したいと考えています。 しかし同時に、どの機関や政府でも、暗号化された ZIP のコンテンツに簡単にアクセスできる簡単な方法が提供されます。 研究者らは現在、.ZIP ファイルの代わりに「256z」ファイルを書き込むことを条件として、無料ツール 7Zip で提供されるような 7 ビット暗号化に切り替えました。 研究者らは、Windows ZIP ツールを純粋な圧縮ツールとしてのみ使用したいと考えています。

赤/セル

 

トピックに関連する記事