Microsoft scannt passwortgeschützte interne ZIP-Dateien auf Malware – Ars Technica

Mehrere Benutzer bei Mastodon berichteten am Montag, dass die Cloud-Dienste von Microsoft nach Malware suchen, indem sie in die komprimierten Dateien der Benutzer schauen, selbst wenn diese passwortgeschützt sind.

Das Komprimieren von Dateiinhalten in archivierte ZIP-Dateien ist seit langem eine Bedrohungstaktik, die von Akteuren eingesetzt wird, um die Verbreitung von Malware per E-Mail oder Downloads zu verschleiern. Einige Bedrohungsakteure haben sich schließlich angepasst und ihre bösartigen Zip-Dateien mit einem Passwort geschützt, das der Endbenutzer eingeben muss, wenn er die Datei in ihre ursprüngliche Form zurückversetzt. Microsoft verstärkt diesen Schritt, indem es versucht, den Passwortschutz für ZIP-Dateien zu umgehen und sie bei Erfolg auf bösartigen Code zu scannen.

Während die Analyse passwortgeschützter Cloud-Umgebungen bei Microsoft manchen gut bekannt ist, kam sie für Andrew Brandt überraschend. Ein Sicherheitsforscher hat Malware lange Zeit in passwortgeschützten ZIP-Dateien archiviert, bevor er sie über SharePoint mit anderen Forschern geteilt hat. Am Montag ging er zu Mastodon, um zu berichten, dass ein Microsoft-Collaboration-Tool kürzlich eine passwortgeschützte ZIP-Datei als „infiziert“ identifiziert hatte.

„Obwohl ich vollkommen verstehen kann, dass man dies auch jemand anderem als einem Malware-Analysten antut, wird diese Art und Weise, mit dieser Art von Neugier umzugehen und damit umzugehen, für Leute wie mich, die Malware-Proben an ihre Kollegen senden müssen, zu einem großen Problem „,“ Brandt-Bücher. „Der dafür verfügbare Platz wird immer kleiner und die Fähigkeit der Malware-Forscher, ihre Arbeit zu erledigen, wird beeinträchtigt.“

Forscherkollege Kevin Beaumont beteiligt sich an der Diskussion und sagt, dass Microsoft über mehrere Möglichkeiten verfügt, den Inhalt passwortgeschützter Zip-Dateien zu untersuchen, und diese nicht nur für in SharePoint gespeicherte Dateien, sondern für alle seine 365-Cloud-Dienste verwendet. Eine Methode besteht darin, mögliche Passwörter aus den E-Mail-Texten oder aus dem Dateinamen selbst zu extrahieren. Zum anderen testen Sie die Datei, um festzustellen, ob sie mit einem der Passwörter in der Liste geschützt ist.

„Wenn Sie sich selbst etwas senden und etwas wie ‚ZIP-Passwort ist Soph0s‘ eingeben und EICAR und ZIP-Passwort mit Soph0s komprimieren, wird das Passwort (Passwort) gefunden, extrahiert und gefunden (und der MS-Discovery-Feed)“, schrieb er .

Brandt sagte, dass Microsofts OneDrive letztes Jahr damit begonnen habe, schädliche Dateien zu sichern, die in einem seiner Windows-Ordner gespeichert seien, nachdem in seinen Endpunkt-Sicherheitstools eine Ausnahme (z. B. eine Zulassungsliste) erstellt worden sei. Später stellte er fest, dass die Dateien, sobald sie auf OneDrive ankamen, von der Festplatte seines Laptops gelöscht und in seinem OneDrive-Konto als Malware erkannt wurden.

„Ich habe die ganze Gruppe verloren“, sagte er.

Anschließend begann Brandt damit, die Schaddateien in „infizierten“ passwortgeschützten Zip-Dateien zu archivieren. Er sagte, dass SharePoint bis letzte Woche keine Dateien markiert habe. Jetzt sind sie es.

Vertreter von Microsoft bestätigten den Erhalt einer E-Mail mit der Frage nach Vorgehensweisen zur Umgehung des Passwortschutzes für in seinen Cloud-Diensten gespeicherte Dateien. Das Unternehmen antwortete nicht darauf.

Ein Google-Vertreter sagte, das Unternehmen scanne passwortgeschützte Zip-Dateien nicht, obwohl Gmail sie identifiziert, wenn Benutzer eine solche Datei erhalten. Mein von Google Workspace verwaltetes Arbeitskonto verhinderte auch, dass ich eine passwortgeschützte ZIP-Datei senden konnte.

Diese Praxis zeigt, dass Online-Fine-Line-Dienste oft Hand in Hand gehen, wenn es darum geht, Endbenutzer vor häufigen Bedrohungen zu schützen und gleichzeitig die Privatsphäre zu respektieren. Wie Brandt anmerkt, scheint das Knacken einer passwortgeschützten ZIP-Datei invasiv zu sein. Gleichzeitig verhinderte diese Praxis mit ziemlicher Sicherheit, dass eine große Anzahl von Benutzern Opfer von Social-Engineering-Angriffen wurde, die versuchten, ihre Computer zu infizieren.

Noch etwas sollten sich die Leser merken: Passwortgeschützte ZIP-Dateien bieten eine minimale Sicherheit, dass der Inhalt des Archivs nicht gelesen werden kann. Wie Beaumont feststellte, ist ZipCrypto das Standardmittel zum Verschlüsseln von Zip-Dateien in Windows unbedeutend zu transzendieren. Eine zuverlässigere Methode besteht darin, beim Erstellen von 7z-Dateien einen in viele Archivierungsprogramme integrierten AES-256-Encoder zu verwenden.