Microsoft kann verschlüsselte ZIP-Dateien öffnen

Microsoft kann verschlüsselte ZIP-Dateien öffnen

Beitrag teilen

Sicherheitsforscher haben festgestellt, dass Microsoft wohl in der Lage ist auf Onedrive bzw. Sharepoint abgelegte verschlüsselte ZIP-Archive zu öffnen und scannen – sofern sie wohl mithilfe von Windows erstellt wurden. Offiziell gibt es von Microsoft zu dem Thema keine Angaben.

Es ist ein beliebtes Mittel bei Cyberattacken via E-Mail: die Angreifer hängen eine verschlüsselte ZIP-Datei mit an und Security-Programme können die ZIP-Datei nicht scannen. Das scheint allerdings bei unter Windows erstellten und verschlüsselten Dateien nicht der Fall zu sein.

Zufällige Entdeckung: ZIPs werden entschlüsselt

Einige Sicherheitsforscher haben per Zufall entdeckt, dass Microsoft wohl in der Lage ist die verschlüsselten ZIPs zu öffnen, zu scannen und bei enthaltener Malware zu löschen. Denn die Forscher haben sich gegenseitig diverse Malwaresamples zur Analyse per E-Mail gesendet und auf OneDrive abgelegt. So berichtet es arstechnica. Allerdings wurden die zur Sicherheit verschlüsselten ZIP-Dateien nach kurzer Zeit von OneDrive gelöscht und die Forscher verstanden nicht warum.

Schnell war klar: Microsoft-Clouddienste scannen nach Malware, indem sie einen Blick in die ZIP-Dateien der Benutzer werfen, selbst wenn diese durch ein Passwort geschützt sind. Für Sicherheitsforscher Andrew war die Analyse passwortgeschützter Dateien in Microsoft-Cloud-Umgebungen überraschend. Der Sicherheitsforscher hat Malware lange Zeit in per Passwort gesicherten ZIP-Dateien archiviert, bevor er sie über SharePoint mit anderen Forschern austauschte.

Teilweise war die Entdeckung schon bekannt

Bei einer Diskussion auf Mastodon kam heraus: Forscherkollege Kevin Beaumont sagte, dass Microsoft über mehrere Methoden zum Scannen des Inhalts passwortgeschützter ZIP-Dateien verfügt und diese nicht nur für in SharePoint gespeicherte Dateien, sondern für alle 365-Cloud-Dienste verwendet. Eine Möglichkeit besteht darin, mögliche Passwörter aus dem Text einer E-Mail oder dem Namen der Datei selbst zu extrahieren. Eine andere Möglichkeit besteht darin, die Datei zu testen, um festzustellen, ob sie mit einem in einer vorhandenen Liste enthaltenen Passwörter geschützt ist.

Haben Sie kurz Zeit?

Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen!

Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender.

Hier geht es direkt zur Umfrage
 

„Wenn Sie sich etwas per E-Mail zuschicken und etwas wie ‚ZIP-Passwort ist Soph0s‘ eingeben, EICAR komprimieren und es mit Soph0s als ZIP-Passwort speichern, wird das Passwort gefunden, extrahiert und der MS-Erkennung zugeführt“, schrieb er. Kevin Baumont hat ein Verzeichnis mit gezippten und verschlüsselten Malware-Dateien in seiner Endpoint-Software als Ausnahme deklariert. Sobald die ZIPs auf Onedrive kamen, wurden sie in der Cloud und auf dem Laptop gelöscht. So hat er viele wichtige Analyse-Samples verloren. Danach hat er viele ZIPs mit einem neuen Passwort verschlüsselt und abgelegt. Diese lagen dann monatelang auf Onedrive bzw. Sharepoint. Plötzlich wurden auch diese Datei als Malware markiert und gelöscht

Macht Google das anders?

arstechnica hat einen Google-Vertreter gefragt, wie es mit den ZIP-Dateien umgehe: das Unternehmen sagte, es scanne passwortgeschützte ZIP-Dateien nicht. Allerdings hat Gmail die ZIPs markiert, wenn Benutzer eine solche Datei erhalten haben. Weiterhin meinte ein Forscher, dass sein per Google Workspace verwaltetes Arbeitskonto es verhindere, dass er eine markierte, passwortgeschützte ZIP-Datei sendet.

Sicher, die Cloud-Services und Unternehmen wollen die Anwender vor Malware in verschlüsselten Archiven schützen. Gleichzeitig haben sie aber für jede Institution oder Regierung eine einfache Möglichkeit schnell an die Inhalte der verschlüsselten ZIPs zu gelangen. Die Forscher sind inzwischen auf eine 256-Bit-Verschlüsselung umgestiegen, so wie sie etwa das freie Tool 7Zip bereitstellt, sofern man eine “7z”-Datei statt .ZIP-Datei schreibt. Auf das Windows-ZIP-Tool wollen die Forscher nur noch als reines Komprimierungs-Tool zurückgreifen.

Red./sel

 

Passende Artikel zum Thema

Risikomanagement App für Microsoft 365

Die Risikomanagement App Cockpit ist eine fertige Plug & Play-Lösung, die über Desktop oder Smartphone bedient werden kann. Sie identifiziert, ➡ Weiterlesen

1 Mill. Euro Preisgelder für 58 Zero-Day-Schwachstellen

Trend Micros Zero Day Initiative (ZDI) vergibt Preisgelder an ethische Hacker für das Aufdecken von Schwachstellen beim Pwn2Own Hacking-Wettbewerb. Für ➡ Weiterlesen

CSaaS: Studie zu Cyber Security as a Service 

Unternehmen stärken sich zunehmend mit externer Expertise. So zeigt die aktuelle Studie, dass 46 Prozent der Unternehmen bereits auf Cyber ➡ Weiterlesen

Proaktiv: Investitionen in IT-Sicherheit als Geschäftsstrategie

IT-Sicherheit ist nicht nur eine Investition, die den Schutz der Unternehmenswerte gewährleistet. Sie schafft auch einen erheblichen Mehrwert für Kunden ➡ Weiterlesen

Höchste Verschlüsselung mit Quantencomputer geknackt?

Die aktuell höchste Verschlüsselung ist der RSA-2048-Schlüssel. Diesen will nun der Forscher Ed Gerck Ph.D, Physiker und Mathematiker, mit einem ➡ Weiterlesen

Passende Datensicherheit in der Industrie

Datensicherheit und Backups für Unternehmen sind theoretisch einfach zu gewährleisten, aber wie funktioniert das in Wirklichkeit? Die aktuelle Fallstudie zeigt ➡ Weiterlesen

Cyber-Resilienz: Trotz Angst vor Angriffen ungenügend vorbereitet

In einer Studie haben sich Führungskräfte aus den Bereichen Sicherheit und IT-Betrieb zur Cyber-Resilienz in ihrem Unternehmen geäußert. Die Mehrzahl ➡ Weiterlesen

Hacken lernen, um Angriffe zu verhindern

"Ethische Hacker" hacken sich in Unternehmensnetzwerke, um Sicherheitslücken zu identifizieren bevor Angreifer sie finden. In einem Kurs lässt sich das ➡ Weiterlesen