Microsoft kann verschlüsselte ZIP-Dateien öffnen

Microsoft kann verschlüsselte ZIP-Dateien öffnen

Beitrag teilen

Sicherheitsforscher haben festgestellt, dass Microsoft wohl in der Lage ist auf Onedrive bzw. Sharepoint abgelegte verschlüsselte ZIP-Archive zu öffnen und scannen – sofern sie wohl mithilfe von Windows erstellt wurden. Offiziell gibt es von Microsoft zu dem Thema keine Angaben.

Es ist ein beliebtes Mittel bei Cyberattacken via E-Mail: die Angreifer hängen eine verschlüsselte ZIP-Datei mit an und Security-Programme können die ZIP-Datei nicht scannen. Das scheint allerdings bei unter Windows erstellten und verschlüsselten Dateien nicht der Fall zu sein.

Anzeige

Zufällige Entdeckung: ZIPs werden entschlüsselt

Einige Sicherheitsforscher haben per Zufall entdeckt, dass Microsoft wohl in der Lage ist die verschlüsselten ZIPs zu öffnen, zu scannen und bei enthaltener Malware zu löschen. Denn die Forscher haben sich gegenseitig diverse Malwaresamples zur Analyse per E-Mail gesendet und auf OneDrive abgelegt. So berichtet es arstechnica. Allerdings wurden die zur Sicherheit verschlüsselten ZIP-Dateien nach kurzer Zeit von OneDrive gelöscht und die Forscher verstanden nicht warum.

Schnell war klar: Microsoft-Clouddienste scannen nach Malware, indem sie einen Blick in die ZIP-Dateien der Benutzer werfen, selbst wenn diese durch ein Passwort geschützt sind. Für Sicherheitsforscher Andrew war die Analyse passwortgeschützter Dateien in Microsoft-Cloud-Umgebungen überraschend. Der Sicherheitsforscher hat Malware lange Zeit in per Passwort gesicherten ZIP-Dateien archiviert, bevor er sie über SharePoint mit anderen Forschern austauschte.

Teilweise war die Entdeckung schon bekannt

Bei einer Diskussion auf Mastodon kam heraus: Forscherkollege Kevin Beaumont sagte, dass Microsoft über mehrere Methoden zum Scannen des Inhalts passwortgeschützter ZIP-Dateien verfügt und diese nicht nur für in SharePoint gespeicherte Dateien, sondern für alle 365-Cloud-Dienste verwendet. Eine Möglichkeit besteht darin, mögliche Passwörter aus dem Text einer E-Mail oder dem Namen der Datei selbst zu extrahieren. Eine andere Möglichkeit besteht darin, die Datei zu testen, um festzustellen, ob sie mit einem in einer vorhandenen Liste enthaltenen Passwörter geschützt ist.

Haben Sie kurz Zeit?

Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen!

Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender.

Hier geht es direkt zur Umfrage
 

„Wenn Sie sich etwas per E-Mail zuschicken und etwas wie ‚ZIP-Passwort ist Soph0s‘ eingeben, EICAR komprimieren und es mit Soph0s als ZIP-Passwort speichern, wird das Passwort gefunden, extrahiert und der MS-Erkennung zugeführt“, schrieb er. Kevin Baumont hat ein Verzeichnis mit gezippten und verschlüsselten Malware-Dateien in seiner Endpoint-Software als Ausnahme deklariert. Sobald die ZIPs auf Onedrive kamen, wurden sie in der Cloud und auf dem Laptop gelöscht. So hat er viele wichtige Analyse-Samples verloren. Danach hat er viele ZIPs mit einem neuen Passwort verschlüsselt und abgelegt. Diese lagen dann monatelang auf Onedrive bzw. Sharepoint. Plötzlich wurden auch diese Datei als Malware markiert und gelöscht

Macht Google das anders?

arstechnica hat einen Google-Vertreter gefragt, wie es mit den ZIP-Dateien umgehe: das Unternehmen sagte, es scanne passwortgeschützte ZIP-Dateien nicht. Allerdings hat Gmail die ZIPs markiert, wenn Benutzer eine solche Datei erhalten haben. Weiterhin meinte ein Forscher, dass sein per Google Workspace verwaltetes Arbeitskonto es verhindere, dass er eine markierte, passwortgeschützte ZIP-Datei sendet.

Sicher, die Cloud-Services und Unternehmen wollen die Anwender vor Malware in verschlüsselten Archiven schützen. Gleichzeitig haben sie aber für jede Institution oder Regierung eine einfache Möglichkeit schnell an die Inhalte der verschlüsselten ZIPs zu gelangen. Die Forscher sind inzwischen auf eine 256-Bit-Verschlüsselung umgestiegen, so wie sie etwa das freie Tool 7Zip bereitstellt, sofern man eine „7z“-Datei statt .ZIP-Datei schreibt. Auf das Windows-ZIP-Tool wollen die Forscher nur noch als reines Komprimierungs-Tool zurückgreifen.

Red./sel

 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen