Microsoft kann verschlüsselte ZIP-Dateien öffnen

Microsoft kann verschlüsselte ZIP-Dateien öffnen

Beitrag teilen

Sicherheitsforscher haben festgestellt, dass Microsoft wohl in der Lage ist auf Onedrive bzw. Sharepoint abgelegte verschlüsselte ZIP-Archive zu öffnen und scannen – sofern sie wohl mithilfe von Windows erstellt wurden. Offiziell gibt es von Microsoft zu dem Thema keine Angaben.

Es ist ein beliebtes Mittel bei Cyberattacken via E-Mail: die Angreifer hängen eine verschlüsselte ZIP-Datei mit an und Security-Programme können die ZIP-Datei nicht scannen. Das scheint allerdings bei unter Windows erstellten und verschlüsselten Dateien nicht der Fall zu sein.

Anzeige

Zufällige Entdeckung: ZIPs werden entschlüsselt

Einige Sicherheitsforscher haben per Zufall entdeckt, dass Microsoft wohl in der Lage ist die verschlüsselten ZIPs zu öffnen, zu scannen und bei enthaltener Malware zu löschen. Denn die Forscher haben sich gegenseitig diverse Malwaresamples zur Analyse per E-Mail gesendet und auf OneDrive abgelegt. So berichtet es arstechnica. Allerdings wurden die zur Sicherheit verschlüsselten ZIP-Dateien nach kurzer Zeit von OneDrive gelöscht und die Forscher verstanden nicht warum.

Schnell war klar: Microsoft-Clouddienste scannen nach Malware, indem sie einen Blick in die ZIP-Dateien der Benutzer werfen, selbst wenn diese durch ein Passwort geschützt sind. Für Sicherheitsforscher Andrew war die Analyse passwortgeschützter Dateien in Microsoft-Cloud-Umgebungen überraschend. Der Sicherheitsforscher hat Malware lange Zeit in per Passwort gesicherten ZIP-Dateien archiviert, bevor er sie über SharePoint mit anderen Forschern austauschte.

Teilweise war die Entdeckung schon bekannt

Bei einer Diskussion auf Mastodon kam heraus: Forscherkollege Kevin Beaumont sagte, dass Microsoft über mehrere Methoden zum Scannen des Inhalts passwortgeschützter ZIP-Dateien verfügt und diese nicht nur für in SharePoint gespeicherte Dateien, sondern für alle 365-Cloud-Dienste verwendet. Eine Möglichkeit besteht darin, mögliche Passwörter aus dem Text einer E-Mail oder dem Namen der Datei selbst zu extrahieren. Eine andere Möglichkeit besteht darin, die Datei zu testen, um festzustellen, ob sie mit einem in einer vorhandenen Liste enthaltenen Passwörter geschützt ist.

Haben Sie kurz Zeit?

Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen!

Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender.

Hier geht es direkt zur Umfrage
 

„Wenn Sie sich etwas per E-Mail zuschicken und etwas wie ‚ZIP-Passwort ist Soph0s‘ eingeben, EICAR komprimieren und es mit Soph0s als ZIP-Passwort speichern, wird das Passwort gefunden, extrahiert und der MS-Erkennung zugeführt“, schrieb er. Kevin Baumont hat ein Verzeichnis mit gezippten und verschlüsselten Malware-Dateien in seiner Endpoint-Software als Ausnahme deklariert. Sobald die ZIPs auf Onedrive kamen, wurden sie in der Cloud und auf dem Laptop gelöscht. So hat er viele wichtige Analyse-Samples verloren. Danach hat er viele ZIPs mit einem neuen Passwort verschlüsselt und abgelegt. Diese lagen dann monatelang auf Onedrive bzw. Sharepoint. Plötzlich wurden auch diese Datei als Malware markiert und gelöscht

Macht Google das anders?

arstechnica hat einen Google-Vertreter gefragt, wie es mit den ZIP-Dateien umgehe: das Unternehmen sagte, es scanne passwortgeschützte ZIP-Dateien nicht. Allerdings hat Gmail die ZIPs markiert, wenn Benutzer eine solche Datei erhalten haben. Weiterhin meinte ein Forscher, dass sein per Google Workspace verwaltetes Arbeitskonto es verhindere, dass er eine markierte, passwortgeschützte ZIP-Datei sendet.

Sicher, die Cloud-Services und Unternehmen wollen die Anwender vor Malware in verschlüsselten Archiven schützen. Gleichzeitig haben sie aber für jede Institution oder Regierung eine einfache Möglichkeit schnell an die Inhalte der verschlüsselten ZIPs zu gelangen. Die Forscher sind inzwischen auf eine 256-Bit-Verschlüsselung umgestiegen, so wie sie etwa das freie Tool 7Zip bereitstellt, sofern man eine „7z“-Datei statt .ZIP-Datei schreibt. Auf das Windows-ZIP-Tool wollen die Forscher nur noch als reines Komprimierungs-Tool zurückgreifen.

Red./sel

 

Passende Artikel zum Thema

MDR-Kunden erhalten bis zu 1 Million US-Dollar Schadensersatz

Klassische Cyber-Versicherungen gibt es zwar schon länger, aber nicht in dieser Form: Bitdefender-MDR-Kunden erhalten bei Sicherheitsvorfällen mit Folgen für den ➡ Weiterlesen

Ransomware: Typische Angriffsschritte einer Cyberattacke

Nach einer Cyberattacke ist es schwierig, den Angriffshergang zu rekonstruieren. Ein führender Anbieter für Cybersicherheit hat analysiert, in welchen Angriffsschritten ➡ Weiterlesen

XDR: KI-Funktionen erkennen und wehren Bedrohungen ab

Bei der Erkennung und Neutralisierung von Bedrohungen kann für Sicherheitsexperten, darunter auch Managed Service Provider (MSP), jede Minute entscheidend sein. ➡ Weiterlesen

Modulare Speicherlösung – Hochsicher und sofort verfügbar

Hochsichere Speicherlösungen müssen nicht nur höchsten Qualitätsansprüchen genügen, sie müssen schnell arbeiten und so schnell wie möglich verfügbar sein. FAST ➡ Weiterlesen

Netzwerkprobleme fordern Industrieunternehmen heraus

Netzwerkprobleme sind eine häufig auftretende Herausforderung in Industrieunternehmen. 38 Prozent von ihnen sind ein bis drei Mal im Monat davon ➡ Weiterlesen

SIEM-Strategie für moderne Cybersicherheit

Die Bedrohungslage im Cyberraum spitzt sich weiter zu. Cyberkriminelle agieren zunehmend professionell. Sie bieten Ransomware-Kits im Affiliate-Modell an und verkaufen ➡ Weiterlesen

Schwachstellen erkennen und patchen

Die neue Softwareversion "Vulnerability and Patchmanagement" unterstützt Unternehmen bei der automatischen Erkennung von Schwachstellen und beim automatischen oder manuellen patchen ➡ Weiterlesen

Die pakistanische Hackergruppe APT36 lernt mit ElizaRAT dazu

Die Threat-Intelligence-Abteilung von Check Point hat in einem neuen Bericht die technischen und strategischen Weiterentwicklungen der Malware ElizaRAT analysiert. Das ➡ Weiterlesen