Pesquisadores de segurança descobriram que a Microsoft provavelmente é capaz de abrir e verificar arquivos ZIP criptografados armazenados no Onedrive ou Sharepoint - desde que tenham sido criados usando o Windows. Não há informações oficiais da Microsoft sobre o assunto.
É uma ferramenta popular para ataques cibernéticos por e-mail: os invasores anexam um arquivo ZIP criptografado e os programas de segurança não podem verificar o arquivo ZIP. No entanto, esse não parece ser o caso de arquivos criados e criptografados no Windows.
Descoberta acidental: ZIPs são descriptografados
Alguns pesquisadores de segurança descobriram acidentalmente que a Microsoft pode abrir os ZIPs criptografados, digitalizá-los e excluí-los se contiverem malware. Os pesquisadores enviaram várias amostras de malware por e-mail para análise e as armazenaram no OneDrive. Então relata Arstechnica. No entanto, os arquivos ZIP criptografados por segurança foram excluídos do OneDrive após um curto período de tempo e os pesquisadores não entenderam o porquê.
Rapidamente ficou claro: os serviços em nuvem da Microsoft verificam malware procurando nos arquivos ZIP dos usuários, mesmo que sejam protegidos por senha. Para o pesquisador de segurança Andrew, a análise de arquivos protegidos por senha em ambientes de nuvem da Microsoft foi uma surpresa. O pesquisador de segurança arquivou o malware em arquivos ZIP protegidos por senha por um longo tempo antes de compartilhá-lo com outros pesquisadores via SharePoint.
Parte da descoberta já era conhecida
Durante uma discussão no Mastodon, surgiu que o colega pesquisador Kevin Beaumont disse que a Microsoft tem vários métodos para escanear o conteúdo de arquivos ZIP protegidos por senha e os usa não apenas para arquivos armazenados no SharePoint, mas para todos os 365 serviços em nuvem. Uma forma é extrair possíveis senhas do corpo de um e-mail ou do próprio nome do arquivo. Outra opção é testar o arquivo para ver se ele está protegido por uma das senhas de uma lista existente.
Você tem um momento?
Reserve alguns minutos para nossa pesquisa de usuários de 2023 e ajude a melhorar o B2B-CYBER-SECURITY.de!Você só precisa responder a 10 perguntas e tem uma chance imediata de ganhar prêmios da Kaspersky, ESET e Bitdefender.
Aqui você vai direto para a pesquisa
"Se você enviar algo por e-mail para si mesmo e digitar algo como 'a senha ZIP é Soph0s', compactar EICAR e salvá-la como uma senha ZIP com Soph0s, a senha será encontrada, extraída e submetida à detecção do MS", escreveu ele. Kevin Baumont declarou um diretório com arquivos de malware compactados e criptografados em seu software de endpoint como uma exceção. Assim que os ZIPs chegaram ao Onedrive, eles foram excluídos na nuvem e no laptop. Então ele perdeu muitas amostras de análise importantes. Depois disso, ele criptografou e arquivou muitos ZIPs com uma nova senha. Eles foram armazenados no Onedrive ou Sharepoint por meses. De repente, este arquivo também foi marcado como malware e excluído
O Google faz diferente?
Arstechnica perguntou a um representante do Google como ele lida com os arquivos ZIP: a empresa disse que não verifica arquivos ZIP protegidos por senha. No entanto, o Gmail marcou os ZIPs quando os usuários receberam esse arquivo. Além disso, um pesquisador afirmou que sua conta de trabalho gerenciada pelo Google Workspace o impedia de enviar um arquivo ZIP marcado e protegido por senha.
Claro, empresas e serviços em nuvem querem proteger os usuários contra malware em arquivos criptografados. Ao mesmo tempo, no entanto, eles oferecem uma maneira fácil para qualquer instituição ou governo acessar rapidamente o conteúdo dos ZIPs criptografados. Os pesquisadores agora mudaram para a criptografia de 256 bits, como a fornecida pela ferramenta gratuita 7Zip, desde que você escreva um arquivo “7z” em vez de um arquivo .ZIP. Os pesquisadores só querem usar a ferramenta ZIP do Windows como uma ferramenta de compactação pura.
Vermelho./sel