Microsoft escanea dentro de archivos zip protegidos con contraseña en busca de malware – Ars Technica
Los servicios en la nube de Microsoft verifican si hay malware al mirar los archivos zip de los usuarios, incluso cuando están protegidos con contraseña, informaron varios usuarios en Mastodon el lunes.
Comprimir el contenido de los archivos en archivos zip archivados ha sido durante mucho tiempo una táctica utilizada por los actores de amenazas para ocultar la propagación de malware a través de correo electrónico o descarga. Eventualmente, algunos actores de amenazas se adaptaron al proteger sus archivos zip maliciosos con una contraseña que el usuario final debe ingresar al convertir el archivo a su forma original. Microsoft está acelerando este movimiento al intentar eludir la protección con contraseña en los archivos zip y, si tiene éxito, escanearlos en busca de código malicioso.
Si bien el análisis de las protecciones con contraseña en los entornos de nube de Microsoft es familiar para algunas personas, Andrew Brandt sorprendió. El investigador de seguridad ha archivado durante mucho tiempo el malware en archivos zip protegidos con contraseña antes de compartirlo con otros investigadores a través de SharePoint. El lunes, recurrió a Mastodon para informar que la herramienta de colaboración de Microsoft había informado recientemente de un archivo zip, que había sido protegido con la contraseña «infectada».
«Aunque entiendo totalmente hacer esto para alguien que no sea un analista de malware, esta forma extraña de manejar esto se convertirá en un gran problema para las personas como yo que necesitan enviar muestras de malware a sus colegas». Brandt escribió. «El espacio disponible para hacer esto se está reduciendo constantemente y esto afectará la capacidad de los investigadores de malware para hacer su trabajo».
El investigador Kevin Beaumont se unió a la discusión para decir que Microsoft tiene varios métodos para escanear el contenido de los archivos zip protegidos con contraseña y los usa no solo en los archivos almacenados en SharePoint, sino en todos sus servicios en la nube 365. . Una forma es extraer todas las contraseñas posibles de los cuerpos de los correos electrónicos o del propio nombre del archivo. Otra es probar el archivo para ver si está protegido por una de las contraseñas de una lista.
«Si te envías algo por correo y escribes algo como ‘La contraseña de ZIP es Soph0s’, comprime EICAR y la contraseña de ZIP con Soph0s, encontrará (la) contraseña, la extraerá y la encontrará (y potenciará la detección de MS)», escribió.
Brandt dijo que el año pasado, OneDrive de Microsoft comenzó a hacer una copia de seguridad de los archivos maliciosos que había almacenado en una de sus carpetas de Windows después de crear una excepción (es decir, permitir la lista) en sus herramientas de seguridad de punto final. Más tarde descubrió que una vez que los archivos llegaban a OneDrive, se borraban del disco duro de su computadora portátil y se detectaban como malware en su cuenta de OneDrive.
«Perdí a todo el grupo», dijo.
Brandt luego comenzó a archivar los archivos maliciosos en archivos zip protegidos por la contraseña «infectada». Hasta la semana pasada, dijo, SharePoint no etiquetaba archivos. Ahora lo son.
Los representantes de Microsoft acusaron recibo de un correo electrónico preguntándoles sobre las prácticas para eludir la protección con contraseña de los archivos almacenados en sus servicios en la nube. La empresa no respondió.
Un representante de Google dijo que la compañía no escanea archivos zip protegidos con contraseña, aunque Gmail los marca cuando los usuarios reciben dicho archivo. Mi cuenta de trabajo administrada por Google Workspace también me impidió enviar un archivo zip protegido con contraseña.
La práctica ilustra la delgada línea que los servicios en línea suelen recorrer cuando intentan proteger a los usuarios finales de amenazas comunes respetando la privacidad. Como señala Brandt, descifrar activamente un archivo zip protegido con contraseña parece invasivo. Al mismo tiempo, esta práctica casi seguramente ha evitado que un gran número de usuarios sean víctimas de ataques de ingeniería social que intentan infectar sus computadoras.
Otra cosa que los lectores deben recordar: los archivos zip protegidos con contraseña brindan una garantía mínima de que el contenido de los archivos no se puede leer. Como señaló Beaumont, ZipCrypto, la forma predeterminada de cifrar archivos zip en Windows, es trivial para reemplazar. Una forma más confiable es usar un cifrador AES-256 integrado en muchos programas de archivo al crear archivos 7z.
«Jugador orgulloso. Gurú del café. Alcoholico galardonado. Entusiasta de la cerveza. Estudiante. Aficionado a los zombis. Lector. Especialista en música. Aficionado a la comida».