Güvenlik araştırmacıları, Windows kullanılarak oluşturuldukları sürece Microsoft'un Onedrive veya Sharepoint'te depolanan şifreli ZIP arşivlerini muhtemelen açıp tarayabileceğini keşfettiler. Konuyla ilgili Microsoft'tan resmi bir bilgi yok.
E-posta yoluyla yapılan siber saldırılar için popüler bir araçtır: Saldırganlar şifreli bir ZIP dosyası ekler ve güvenlik programları ZIP dosyasını tarayamaz. Ancak, Windows altında oluşturulan ve şifrelenen dosyalar için durum böyle görünmüyor.
Yanlışlıkla keşif: ZIP'lerin şifresi çözülür
Bazı güvenlik araştırmacıları yanlışlıkla Microsoft'un şifrelenmiş ZIP'leri açabileceğini, tarayabileceğini ve kötü amaçlı yazılım içeriyorlarsa silebileceğini keşfetti. Araştırmacılar analiz için çeşitli kötü amaçlı yazılım örneklerini birbirlerine e-posta ile gönderdiler ve bunları OneDrive'da depoladılar. Yani rapor ediyor Arstechnica. Ancak güvenlik amacıyla şifrelenen ZIP dosyaları kısa bir süre sonra OneDrive'dan silindi ve araştırmacılar bunun nedenini anlayamadılar.
Kısa sürede anlaşıldı: Microsoft bulut hizmetleri, parola korumalı olsalar bile kullanıcıların ZIP dosyalarına bakarak kötü amaçlı yazılım taraması yapar. Güvenlik araştırmacısı Andrew için Microsoft bulut ortamlarındaki parola korumalı dosyaların analizi sürpriz oldu. Güvenlik araştırmacısı, kötü amaçlı yazılımı SharePoint aracılığıyla diğer araştırmacılarla paylaşmadan önce uzun süre parola korumalı ZIP dosyalarında arşivledi.
Keşfin bir kısmı zaten biliniyordu
Mastodon ile ilgili bir tartışma sırasında, araştırmacı Kevin Beaumont'un Microsoft'un parola korumalı ZIP dosyalarının içeriğini taramak için birden çok yöntemi olduğunu ve bunları yalnızca SharePoint'te depolanan dosyalar için değil, tüm 365 bulut hizmetleri için kullandığını söylediği ortaya çıktı. Bir yol, bir e-postanın gövdesinden veya dosyanın adından olası şifreleri çıkarmaktır. Başka bir seçenek de, mevcut bir parola listesinden biriyle korunup korunmadığını görmek için dosyayı test etmektir.
Bir anın var mı?
2023 kullanıcı anketimiz için birkaç dakikanızı ayırın ve B2B-CYBER-SECURITY.de'nin daha iyi olmasına yardımcı olun!Yalnızca 10 soruyu yanıtlamanız yeterlidir ve anında Kaspersky, ESET ve Bitdefender'dan ödüller kazanma şansınız olur.
Buradan doğrudan ankete gidersiniz
"Kendinize bir e-posta gönderirseniz ve 'ZIP password is Soph0s' gibi bir şey yazarsanız, EICAR'ı zipleyip Soph0s ile ZIP parolası olarak kaydederseniz, parola bulunur, ayıklanır ve MS tespitine gönderilir" diye yazdı. Kevin Baumont, uç nokta yazılımında sıkıştırılmış ve şifrelenmiş kötü amaçlı yazılım dosyaları içeren bir dizini istisna olarak ilan etti. ZIP'ler Onedrive'a gelir gelmez bulutta ve dizüstü bilgisayarda silindi. Bu yüzden birçok önemli analiz örneğini kaybetti. Bundan sonra, birçok ZIP'yi şifreledi ve yeni bir parola ile dosyaladı. Bunlar daha sonra aylarca Onedrive veya Sharepoint'te saklandı. Aniden bu dosya da kötü amaçlı yazılım olarak işaretlendi ve silindi
Google bunu farklı mı yapıyor?
Arstechnica bir Google temsilcisine ZIP dosyalarını nasıl işlediğini sordu: şirket, parola korumalı ZIP dosyalarını taramadığını söyledi. Ancak Gmail, kullanıcılar böyle bir dosya aldığında ZIP'leri işaretledi. Ayrıca bir araştırmacı, Google Workspace tarafından yönetilen iş hesabının, etiketli, şifre korumalı bir ZIP dosyası göndermesini engellediğini belirtti.
Elbette, bulut hizmetleri ve şirketler, kullanıcıları şifreli arşivlerdeki kötü amaçlı yazılımlardan korumak istiyor. Ancak aynı zamanda, herhangi bir kurum veya hükümetin şifrelenmiş ZIP'lerin içeriğine hızlı bir şekilde erişmesi için kolay bir yol var. Araştırmacılar, .ZIP dosyası yerine bir "256z" dosyası yazmanız koşuluyla, ücretsiz araç 7Zip tarafından sağlanan gibi 7 bit şifrelemeye geçtiler. Araştırmacılar yalnızca Windows ZIP aracını saf bir sıkıştırma aracı olarak kullanmak istiyor.
Kırmızı./sel