Sicherheitsforscher haben festgestellt, dass Microsoft wohl in der Lage ist auf Onedrive bzw. Sharepoint abgelegte verschlüsselte ZIP-Archive zu öffnen und scannen – sofern sie wohl mithilfe von Windows erstellt wurden. Offiziell gibt es von Microsoft zu dem Thema keine Angaben.
Es ist ein beliebtes Mittel bei Cyberattacken via E-Mail: die Angreifer hängen eine verschlüsselte ZIP-Datei mit an und Security-Programme können die ZIP-Datei nicht scannen. Das scheint allerdings bei unter Windows erstellten und verschlüsselten Dateien nicht der Fall zu sein.
Zufällige Entdeckung: ZIPs werden entschlüsselt
Einige Sicherheitsforscher haben per Zufall entdeckt, dass Microsoft wohl in der Lage ist die verschlüsselten ZIPs zu öffnen, zu scannen und bei enthaltener Malware zu löschen. Denn die Forscher haben sich gegenseitig diverse Malwaresamples zur Analyse per E-Mail gesendet und auf OneDrive abgelegt. So berichtet es arstechnica. Allerdings wurden die zur Sicherheit verschlüsselten ZIP-Dateien nach kurzer Zeit von OneDrive gelöscht und die Forscher verstanden nicht warum.
Schnell war klar: Microsoft-Clouddienste scannen nach Malware, indem sie einen Blick in die ZIP-Dateien der Benutzer werfen, selbst wenn diese durch ein Passwort geschützt sind. Für Sicherheitsforscher Andrew war die Analyse passwortgeschützter Dateien in Microsoft-Cloud-Umgebungen überraschend. Der Sicherheitsforscher hat Malware lange Zeit in per Passwort gesicherten ZIP-Dateien archiviert, bevor er sie über SharePoint mit anderen Forschern austauschte.
Teilweise war die Entdeckung schon bekannt
Bei einer Diskussion auf Mastodon kam heraus: Forscherkollege Kevin Beaumont sagte, dass Microsoft über mehrere Methoden zum Scannen des Inhalts passwortgeschützter ZIP-Dateien verfügt und diese nicht nur für in SharePoint gespeicherte Dateien, sondern für alle 365-Cloud-Dienste verwendet. Eine Möglichkeit besteht darin, mögliche Passwörter aus dem Text einer E-Mail oder dem Namen der Datei selbst zu extrahieren. Eine andere Möglichkeit besteht darin, die Datei zu testen, um festzustellen, ob sie mit einem in einer vorhandenen Liste enthaltenen Passwörter geschützt ist.
Haben Sie kurz Zeit?
Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen! Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender. Hier geht es direkt zur Umfrage„Wenn Sie sich etwas per E-Mail zuschicken und etwas wie ‚ZIP-Passwort ist Soph0s‘ eingeben, EICAR komprimieren und es mit Soph0s als ZIP-Passwort speichern, wird das Passwort gefunden, extrahiert und der MS-Erkennung zugeführt“, schrieb er. Kevin Baumont hat ein Verzeichnis mit gezippten und verschlüsselten Malware-Dateien in seiner Endpoint-Software als Ausnahme deklariert. Sobald die ZIPs auf Onedrive kamen, wurden sie in der Cloud und auf dem Laptop gelöscht. So hat er viele wichtige Analyse-Samples verloren. Danach hat er viele ZIPs mit einem neuen Passwort verschlüsselt und abgelegt. Diese lagen dann monatelang auf Onedrive bzw. Sharepoint. Plötzlich wurden auch diese Datei als Malware markiert und gelöscht
Macht Google das anders?
arstechnica hat einen Google-Vertreter gefragt, wie es mit den ZIP-Dateien umgehe: das Unternehmen sagte, es scanne passwortgeschützte ZIP-Dateien nicht. Allerdings hat Gmail die ZIPs markiert, wenn Benutzer eine solche Datei erhalten haben. Weiterhin meinte ein Forscher, dass sein per Google Workspace verwaltetes Arbeitskonto es verhindere, dass er eine markierte, passwortgeschützte ZIP-Datei sendet.
Sicher, die Cloud-Services und Unternehmen wollen die Anwender vor Malware in verschlüsselten Archiven schützen. Gleichzeitig haben sie aber für jede Institution oder Regierung eine einfache Möglichkeit schnell an die Inhalte der verschlüsselten ZIPs zu gelangen. Die Forscher sind inzwischen auf eine 256-Bit-Verschlüsselung umgestiegen, so wie sie etwa das freie Tool 7Zip bereitstellt, sofern man eine „7z“-Datei statt .ZIP-Datei schreibt. Auf das Windows-ZIP-Tool wollen die Forscher nur noch als reines Komprimierungs-Tool zurückgreifen.
Red./sel