Дослідники безпеки виявили, що Microsoft, ймовірно, може відкривати та сканувати зашифровані ZIP-архіви, що зберігаються на Onedrive або Sharepoint, якщо вони були створені за допомогою Windows. Офіційної інформації від Microsoft на цю тему немає.
Це популярний інструмент для кібератак електронною поштою: зловмисники додають зашифрований ZIP-файл, і програми безпеки не можуть сканувати ZIP-файл. Однак, здається, це не стосується файлів, створених і зашифрованих у Windows.
Випадкове відкриття: ZIP розшифровано
Деякі дослідники безпеки випадково виявили, що Microsoft може відкрити зашифровані ZIP-файли, просканувати їх і видалити, якщо вони містять зловмисне програмне забезпечення. Дослідники надсилали один одному різні зразки зловмисного програмного забезпечення для аналізу та зберігали їх на OneDrive. Так повідомляє про це артехніка. Однак зашифровані для безпеки ZIP-файли були видалені з OneDrive через короткий час, і дослідники не розуміли, чому.
Швидко стало зрозуміло: хмарні служби Microsoft перевіряють шкідливі програми, переглядаючи ZIP-файли користувачів, навіть якщо вони захищені паролем. Для дослідника безпеки Ендрю аналіз захищених паролем файлів у хмарних середовищах Microsoft став несподіванкою. Дослідник безпеки архівував зловмисне програмне забезпечення в захищених паролем ZIP-файлах протягом тривалого часу, перш ніж поділитися ним з іншими дослідниками через SharePoint.
Деякі з відкриттів були вже відомі
Під час дискусії на Mastodon з’ясувалося, що колега-дослідник Кевін Бомонт сказав, що Microsoft має кілька методів сканування вмісту захищених паролем ZIP-файлів і використовує їх не лише для файлів, що зберігаються в SharePoint, але й для всіх 365 хмарних служб. Один із способів — отримати можливі паролі з тіла електронного листа або назви самого файлу. Інший варіант — перевірити файл, щоб перевірити, чи він захищений одним із існуючого списку паролів.
У вас є хвилинка?
Приділіть кілька хвилин для нашого опитування користувачів 2023 року та допоможіть покращити B2B-CYBER-SECURITY.de!Вам потрібно відповісти лише на 10 запитань, і у вас є шанс виграти призи від Kaspersky, ESET і Bitdefender.
Тут ви переходите безпосередньо до опитування
«Якщо ви надішлете собі щось електронною поштою та введете щось на зразок «Пароль ZIP — Soph0s», заархівуєте EICAR і збережете його як пароль ZIP за допомогою Soph0s, пароль буде знайдено, витягнуто та передано на виявлення MS», — написав він. Кевін Баумонт оголосив каталог із заархівованими та зашифрованими файлами шкідливого програмного забезпечення у своєму програмному забезпеченні кінцевої точки як виняток. Щойно ZIP-файли потрапили на Onedrive, вони були видалені в хмарі та на ноутбуці. Таким чином, він втратив багато важливих аналізів. Після цього він зашифрував і заповнив багато ZIP з новим паролем. Потім вони зберігалися на Onedrive або Sharepoint протягом місяців. Раптом цей файл також було позначено як зловмисне програмне забезпечення та видалено
Чи Google робить це інакше?
артехніка запитав представника Google, як він обробляє ZIP-файли: компанія сказала, що не сканує захищені паролем ZIP-файли. Однак Gmail позначав ZIP-файли, коли користувачі отримували такий файл. Крім того, один дослідник заявив, що його робочий обліковий запис, яким керує Google Workspace, не дозволяв йому надіслати позначений, захищений паролем ZIP-файл.
Звичайно, хмарні сервіси та компанії хочуть захистити користувачів від шкідливих програм у зашифрованих архівах. У той же час, однак, вони мають простий спосіб для будь-якої установи чи уряду швидко отримати доступ до вмісту зашифрованих ZIP. Тепер дослідники перейшли на 256-бітове шифрування, яке забезпечує безкоштовний інструмент 7Zip, за умови, що ви записуєте файл «7z» замість файлу .ZIP. Дослідники хочуть використовувати інструмент Windows ZIP лише як інструмент чистого стиснення.
Ред./сел