Η Microsoft σαρώνει το εσωτερικό των αρχείων zip που προστατεύονται με κωδικό πρόσβασης για κακόβουλο λογισμικό

Οι υπηρεσίες cloud της Microsoft σαρώνουν για κακόβουλο λογισμικό "κρυφοκοιτάζοντας" μέσα στα αρχεία zip των χρηστών, ακόμη και όταν αυτά προστατεύονται με κωδικό πρόσβασης, ανέφεραν αρκετοί χρήστες στο Mastodon τη Δευτέρα. Η συμπίεση των περιεχομένων αρχείων σε κρυπτογραφημένα αρχεία zip είναι εδώ και καιρό μια τακτική που χρησιμοποιούν οι κακόβουλοι φορείς για να αποκρύψουν κακόβουλο λογισμικό που εξαπλώνεται μέσω ηλεκτρονικού ταχυδρομείου ή απευθείας λήψεων. Τελικά, ορισμένοι φορείς απειλών προσαρμόστηκαν προστατεύοντας τα κακόβουλα αρχεία zip με έναν κωδικό πρόσβασης που πρέπει να πληκτρολογήσει ο τελικός χρήστης κατά τη μετατροπή του αρχείου πίσω στην αρχική του μορφή. Η Microsoft ξεπερνάει αυτή την κίνηση επιχειρώντας να παρακάμψει την προστασία με κωδικό πρόσβασης σε αρχεία zip και, όταν είναι επιτυχής, τα σαρώνει για κακόβουλο κώδικα.

Ενώ η ανάλυση των αρχείων που προστατεύονται με κωδικό πρόσβασης σε περιβάλλοντα cloud της Microsoft είναι γνωστή σε ορισμένους, αποτέλεσε έκπληξη για τον Andrew Brandt. Ο ερευνητής ασφάλειας αρχειοθετεί εδώ και καιρό κακόβουλο λογισμικό μέσα σε αρχεία zip που προστατεύονται με κωδικό πρόσβασης πριν τα ανταλλάξει με άλλους ερευνητές μέσω του SharePoint. Τη Δευτέρα, πήρε το Mastodon για να αναφέρει ότι το εργαλείο συνεργασίας της Microsoft είχε πρόσφατα επισημάνει ένα αρχείο zip, το οποίο είχε προστατευτεί με τον κωδικό πρόσβασης "μολυσμένο".

Ενώ καταλαβαίνω απόλυτα να το κάνει αυτό οποιοσδήποτε άλλος εκτός από έναν αναλυτή κακόβουλου λογισμικού, αυτό το είδος του αδιάκριτου, μπαίνω μέσα στην επιχείρησή σας τρόπου χειρισμού πρόκειται να γίνει μεγάλο πρόβλημα για ανθρώπους σαν εμένα που πρέπει να στείλουν στους συναδέλφους τους δείγματα κακόβουλου λογισμικού. Ο διαθέσιμος χώρος για να γίνει αυτό συνεχίζει να συρρικνώνεται και αυτό θα επηρεάσει την ικανότητα των ερευνητών κακόβουλου λογισμικού να κάνουν τη δουλειά τους
- Andrew Brandt

Ο συνάδελφος ερευνητής Kevin Beaumont συμμετείχε στη συζήτηση για να πει ότι η Microsoft διαθέτει πολλαπλές μεθόδους για τη σάρωση του περιεχομένου των προστατευμένων με κωδικό πρόσβασης αρχείων zip και τις χρησιμοποιεί όχι μόνο σε αρχεία που είναι αποθηκευμένα στο SharePoint αλλά σε όλες τις υπηρεσίες cloud 365. Ένας τρόπος είναι να εξάγονται τυχόν κωδικοί πρόσβασης από τα σώματα ενός email ή από το όνομα του ίδιου του αρχείου. Ένας άλλος τρόπος είναι να ελέγξετε το αρχείο για να δείτε αν προστατεύεται με έναν από τους κωδικούς πρόσβασης που περιέχονται σε μια λίστα.

Αν στείλετε στον εαυτό σας κάτι και πληκτρολογήσετε κάτι σαν 'ZIP password is Soph0s', κάνετε ZIP up το EICAR και ZIP password με το Soph0s, θα βρει (τον) κωδικό πρόσβασης, θα εξάγει και θα βρει (και θα τροφοδοτήσει την ανίχνευση της MS)
- Kevin Beaumont

Ο Brandt δήλωσε ότι πέρυσι το OneDrive της Microsoft άρχισε να δημιουργεί αντίγραφα ασφαλείας κακόβουλων αρχείων που είχε αποθηκεύσει σε έναν από τους φακέλους του στα Windows, αφού δημιούργησε μια εξαίρεση (δηλαδή, επέτρεψε την καταχώριση) στα εργαλεία ασφαλείας του τελικού σημείου. Αργότερα ανακάλυψε ότι μόλις τα αρχεία έφτασαν στο OneDrive, σβήστηκαν από τον σκληρό δίσκο του φορητού υπολογιστή του και ανιχνεύθηκαν ως κακόβουλο λογισμικό στον λογαριασμό του στο OneDrive. Σαν αποτέλεσμα ήταν να χάσει όλα τα αρχεία αυτά. Στη συνέχεια, ο Brandt άρχισε να αρχειοθετεί τα κακόβουλα αρχεία σε αρχεία zip που προστατεύονταν με τον κωδικό πρόσβασης "infected". Μέχρι την περασμένη εβδομάδα, είπε, το SharePoint δεν σημείωνε τα αρχεία. Τώρα το κάνει.

Εκπρόσωποι της Microsoft επιβεβαίωσαν τη λήψη ενός email που ρωτούσε για τις πρακτικές παράκαμψης της προστασίας με κωδικό πρόσβασης των αρχείων που αποθηκεύονται στις υπηρεσίες cloud της. Η εταιρεία δεν ακολούθησε απάντηση. Εκπρόσωπος της Google δήλωσε ότι η εταιρεία δεν σαρώνει αρχεία zip που προστατεύονται με κωδικό πρόσβασης, αν και το Gmail τα επισημαίνει όταν οι χρήστες λαμβάνουν ένα τέτοιο αρχείο. Ο λογαριασμός εργασίας μου που διαχειρίζεται το Google Workspace με εμπόδισε επίσης να στείλω ένα αρχείο zip που προστατεύεται με κωδικό πρόσβασης.

Η πρακτική αυτή καταδεικνύει τη λεπτή γραμμή που συχνά ακολουθούν οι διαδικτυακές υπηρεσίες όταν προσπαθούν να προστατεύσουν τους τελικούς χρήστες από κοινές απειλές, σεβόμενοι παράλληλα την ιδιωτική ζωή. Όπως σημειώνει ο Brandt, το ενεργό σπάσιμο ενός αρχείου zip που προστατεύεται με κωδικό πρόσβασης μοιάζει επεμβατικό. Ταυτόχρονα, η πρακτική αυτή έχει σχεδόν σίγουρα αποτρέψει μεγάλο αριθμό χρηστών από το να πέσουν θύματα επιθέσεων κοινωνικής μηχανικής που επιχειρούν να μολύνουν τους υπολογιστές τους.

Ένα άλλο πράγμα που πρέπει να θυμούνται οι αναγνώστες: τα αρχεία zip που προστατεύονται με κωδικό πρόσβασης παρέχουν ελάχιστη διασφάλιση ότι το περιεχόμενο μέσα στα αρχεία δεν μπορεί να διαβαστεί. Όπως σημείωσε ο Beaumont, το ZipCrypto, το προεπιλεγμένο μέσο για την κρυπτογράφηση αρχείων zip στα Windows, είναι τετριμμένο να παρακαμφθεί. Ένας πιο αξιόπιστος τρόπος είναι η χρήση μιας κρυπτογράφησης AES-256 που είναι ενσωματωμένη σε πολλά προγράμματα αρχειοθέτησης κατά τη δημιουργία αρχείων 7z.