Microsoft kann verschlüsselte ZIP-Dateien öffnen

Microsoft kann verschlüsselte ZIP-Dateien öffnen

Beitrag teilen

Sicherheitsforscher haben festgestellt, dass Microsoft wohl in der Lage ist auf Onedrive bzw. Sharepoint abgelegte verschlüsselte ZIP-Archive zu öffnen und scannen – sofern sie wohl mithilfe von Windows erstellt wurden. Offiziell gibt es von Microsoft zu dem Thema keine Angaben.

Es ist ein beliebtes Mittel bei Cyberattacken via E-Mail: die Angreifer hängen eine verschlüsselte ZIP-Datei mit an und Security-Programme können die ZIP-Datei nicht scannen. Das scheint allerdings bei unter Windows erstellten und verschlüsselten Dateien nicht der Fall zu sein.

Zufällige Entdeckung: ZIPs werden entschlüsselt

Einige Sicherheitsforscher haben per Zufall entdeckt, dass Microsoft wohl in der Lage ist die verschlüsselten ZIPs zu öffnen, zu scannen und bei enthaltener Malware zu löschen. Denn die Forscher haben sich gegenseitig diverse Malwaresamples zur Analyse per E-Mail gesendet und auf OneDrive abgelegt. So berichtet es arstechnica. Allerdings wurden die zur Sicherheit verschlüsselten ZIP-Dateien nach kurzer Zeit von OneDrive gelöscht und die Forscher verstanden nicht warum.

Schnell war klar: Microsoft-Clouddienste scannen nach Malware, indem sie einen Blick in die ZIP-Dateien der Benutzer werfen, selbst wenn diese durch ein Passwort geschützt sind. Für Sicherheitsforscher Andrew war die Analyse passwortgeschützter Dateien in Microsoft-Cloud-Umgebungen überraschend. Der Sicherheitsforscher hat Malware lange Zeit in per Passwort gesicherten ZIP-Dateien archiviert, bevor er sie über SharePoint mit anderen Forschern austauschte.

Teilweise war die Entdeckung schon bekannt

Bei einer Diskussion auf Mastodon kam heraus: Forscherkollege Kevin Beaumont sagte, dass Microsoft über mehrere Methoden zum Scannen des Inhalts passwortgeschützter ZIP-Dateien verfügt und diese nicht nur für in SharePoint gespeicherte Dateien, sondern für alle 365-Cloud-Dienste verwendet. Eine Möglichkeit besteht darin, mögliche Passwörter aus dem Text einer E-Mail oder dem Namen der Datei selbst zu extrahieren. Eine andere Möglichkeit besteht darin, die Datei zu testen, um festzustellen, ob sie mit einem in einer vorhandenen Liste enthaltenen Passwörter geschützt ist.

Haben Sie kurz Zeit?

Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen!

Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender.

Hier geht es direkt zur Umfrage
 

„Wenn Sie sich etwas per E-Mail zuschicken und etwas wie ‚ZIP-Passwort ist Soph0s‘ eingeben, EICAR komprimieren und es mit Soph0s als ZIP-Passwort speichern, wird das Passwort gefunden, extrahiert und der MS-Erkennung zugeführt“, schrieb er. Kevin Baumont hat ein Verzeichnis mit gezippten und verschlüsselten Malware-Dateien in seiner Endpoint-Software als Ausnahme deklariert. Sobald die ZIPs auf Onedrive kamen, wurden sie in der Cloud und auf dem Laptop gelöscht. So hat er viele wichtige Analyse-Samples verloren. Danach hat er viele ZIPs mit einem neuen Passwort verschlüsselt und abgelegt. Diese lagen dann monatelang auf Onedrive bzw. Sharepoint. Plötzlich wurden auch diese Datei als Malware markiert und gelöscht

Macht Google das anders?

arstechnica hat einen Google-Vertreter gefragt, wie es mit den ZIP-Dateien umgehe: das Unternehmen sagte, es scanne passwortgeschützte ZIP-Dateien nicht. Allerdings hat Gmail die ZIPs markiert, wenn Benutzer eine solche Datei erhalten haben. Weiterhin meinte ein Forscher, dass sein per Google Workspace verwaltetes Arbeitskonto es verhindere, dass er eine markierte, passwortgeschützte ZIP-Datei sendet.

Sicher, die Cloud-Services und Unternehmen wollen die Anwender vor Malware in verschlüsselten Archiven schützen. Gleichzeitig haben sie aber für jede Institution oder Regierung eine einfache Möglichkeit schnell an die Inhalte der verschlüsselten ZIPs zu gelangen. Die Forscher sind inzwischen auf eine 256-Bit-Verschlüsselung umgestiegen, so wie sie etwa das freie Tool 7Zip bereitstellt, sofern man eine “7z”-Datei statt .ZIP-Datei schreibt. Auf das Windows-ZIP-Tool wollen die Forscher nur noch als reines Komprimierungs-Tool zurückgreifen.

Red./sel

 

Passende Artikel zum Thema

Robotik, KI oder Firmenwagen – wo Manager Cybergefahren sehen

Deutsche und Schweizer C-Level Manager sehen besonders für das Home-Office Handlungsbedarf, um dort in der Zukunft sensible Daten besser zu ➡ Weiterlesen

Ohne Notfallplan ist der Datenverlust vorprogrammiert

In der Umfrage des Uptime Institute geben 60 Prozent der Unternehmen an, dass sie in den letzten drei Jahren einen ➡ Weiterlesen

Win 11 Copilot+ Recall: Microsoft baut auf Druck IT-Security ein

Kurz nachdem Microsoft Chef Satya Nadella Copilot+ Recall für Windows 11 vorgestellt hatte, haben Experten in Sachen IT-Security vernichtende Urteile ➡ Weiterlesen

BSI und Zero Day Initiative warnt vor kritischer Azure Schwachstelle  

Die Zero Day Initiative (ZDI) sammelt und verifiziert gemeldete Schwachstellen. Nun gibt es wohl eine kritische Schwachstelle in Azure mit dem ➡ Weiterlesen

CISOs unter Druck: Sollen Cyberrisiken herunterspielen

Die Studienergebnisse zum Umgang mit Cyberrisiken in Unternehmen haben es in sich. Die Trend Micro-Studie zeigt: Drei Viertel der deutschen ➡ Weiterlesen

APT-Gruppen: Viele Router als Teil riesiger Botnetze 

In einem Blogbeitrag analysiert Trend Micro wie Pawn Storm (auch APT28 oder Forest Blizzard) und andere APT-Akteure Router kompromittieren und ➡ Weiterlesen

Microsofts Copilot+ Recall: Gefährliche Totalüberwachung?

Microsoft sieht es als Superservice, Security-Experten als Super-GAU: Microsofts Copilot+ Recall für Windows 11 zeichnet alle 5 Sekunden die Tätigkeiten ➡ Weiterlesen

Keylogger stiehlt bei Exchange Servern Login-Daten

Das Incident Response Team des PT ESC hat einen neuartigen Keylogger in der Hauptseite eines Microsoft Exchange Servers entdeckt. Jeder ➡ Weiterlesen