Облачные сервисы Microsoft «брутфорсят» запароленные архивы пользователей для принудительного антивирусного сканирования

Облачные сервисы Microsoft «брутфорсят» запароленные архивы пользователей для принудительного антивирусного сканирования

Стоит ли простым пользователям переживать за сохранность своих файлов, загруженных в облако?

image

Несколько специалистов в сфере кибербезопасности совершенно случайно обнаружили, что облачные сервисы Microsoft каким-то образом просматривают содержимое пользовательских ZIP-архивов в поисках вредоносного кода, даже если они защищены паролем.

Архивация вредоносных программ в простой ZIP-архив — давний приём злоумышленников, которые скрывают таким образом вирусы для дальнейшего распространения в фишинговых атаках. Некоторые злоумышленники со временем стали использовать парольную защиту для своих архивов, чтобы усложнить их распаковку и анализ. Microsoft же, судя по последней информации, пытается обойти эту защиту и просканировать даже запароленные архивы на предмет наличия вредоносного кода.

Для некоторых людей такой анализ архивов в облачных средах не является новостью, но для исследователя в сфере кибербезопасности Андрея Брандта это стало неожиданностью. Специалист давно хранил образцы вирусов в ZIP-архивах с паролем «infected» и обменивался ими с коллегами через SharePoint. Вчера исследователь написал в Mastodon, что инструмент анализа в облачной среде Microsoft недавно пометил один из его архивов как опасный.

«Хотя я полностью понимаю такой подход, всё же это навязчивое и вторгающееся в твои дела поведение станет большой проблемой для людей, которые ежедневно отправляют своим коллегам образцы вирусов», — написал Брандт. По словам специалиста, подобное вмешательство может существенно повлиять на возможность исследователей вредоносных программ выполнять свою работу.

Другой исследователь безопасности, Кевин Бомонт, присоединился к обсуждению и сообщил, что Microsoft имеет несколько способов сканирования содержимого ZIP-архивов с паролем и использует их не только для файлов, хранящихся в SharePoint, но и для всех своих облачных сервисов Microsoft 365. Один из способов — извлечение возможных паролей из текста электронного письма или имени файла. Другой — банальный грубый перебор или «брутфорс».

«Если вы отправите архив по электронной почте и напишете в тексте письма, например "Пароль от ZIP — Soph0s", запакуете туда EICAR-Test-File и защитите его паролем "Soph0s", то Microsoft найдёт пароль в тексте письма, извлечёт файл и обнаружит там вредоносный код», — написал Бомонт.

Подобная практика иллюстрирует тонкую грань, по которой часто ходят онлайн-сервисы, пытаясь защитить конечных пользователей от распространённых угроз. Как отмечает Брандт, активное взламывание запароленных ZIP-архивов кажется своеобразным вторжением в частную жизнь простых пользователей. В то же время эта практика почти наверняка предотвратила огромное число случаев заражения компьютеров пользователей в атаках социальной инженерии.

Из этой истории, помимо неоднозначных методов Microsoft, можно сделать и другой вывод: ZIP-архивы с паролем дают минимальную гарантию того, что содержимое внутри не сможет быть прочитано. Как отметил Бомонт, ZipCrypto, стандартный способ шифрования ZIP-файлов в Windows, — довольно легко обойти. Куда надёжнее использовать шифрование AES-256, встроенное во многие программы для создания 7z-архивов.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий