17 Мая 2023 10:27 17 Мая 2023 10:27 |

Поделиться

Microsoft взламывает и просматривает zip-архивы пользователей, даже если они защищены паролем

«Вскрыть» защищенный паролем архив

Облачные сервисы корпорации Microsoft способны проверять содержимое архивов, созданных популярной программой 7-zip, пользователей на предмет наличия вредоносного программного обеспечения, даже если те защищены паролем, пишет Ars Technica.

Техника сокрытия вредоносного ПО в «запароленных» архивах для дальнейшей доставки на компьютеры жертв посредством электронной почты хорошо известна и широко применяется злоумышленниками.

Эндрю Брандт (Andrew Brandt) из ИБ-компании Sophos периодически обменивается с коллегами образцами вредоносов посредством сервиса Microsoft SharePoint и там же хранит коллекцию зараженных файлов – в виде защищенных паролем архивов. Пароль в этом случае необходим, чтобы оградить коллекцию от пристального внимания антивирусных средств, задействованных в облачном сервисе для совместной работы.

Однако недавно Брандт обратил внимание на то, что SharePoint начал помечать архивы с вредоносным ПО, защищенные паролем, как зараженные. В частности, один из таких архивов, по его словам, был создан с использованием кодового слова “infected” («зараженный»).

Фото: © wolterke / Фотобанк Фотодженика

Облачные сервисы Microsoft защищают пользователей от вредоносного ПО, извучая содержимое упакованных с помощью 7-zip архивов, даже если те «запаролены»

Другой исследователь в сфере ИБ Кевин Бомонт (Kevin Beaumont) отметил, что Microsoft сканирует пользовательские 7z-архивы на предмет опасного содержимого не только в SharePoint, но и во всех остальных облачных сервисах семейства Microsoft 365.

От сканирования почты до перебора по словарю

«Вскрытие» таких архивов, по информации специалиста, может осуществляться несколькими способами. Во-первых, алгоритмы Microsoft способны искать пароль в названиях непосредственно файлов и, что более интересно, – в почтовой переписке пользователя (сервис Outlook).

«Если отправить самому себе электронной почтой сообщение вроде “пароль от ZIP – Soph0s”, затем упаковать в архив EICAR (безвредный тестовый файл, на который антивирусное ПО реагирует как на реальную угрозу; – прим. CNews) с паролем “Soph0s”, то система найдет этот пароль, извлечет содержимое архива и сообщит об угрозе», – сообщил Бомонт в соцсети Mastodon.

Более того, исследователь утверждает, что системы Microsoft способны подбирать пароли по словарю, который, вероятно, состоит из наиболее часто встречающихся сочетаний символов.

Эндрю Брандт, в свою очередь, рассказал, что в 2022 г. Windows начала автоматически создавать резервные копии папки, используемой им для сбора образцов вредоносов в виде простых 7z-архивов без пароля, в облачном хранилище Microsoft OneDrive. При этом во встроенных в систему средствах защиты специалист настроил исключения во избежание удаления коллекции антивирусом. Через некоторое время, по словам Брандта, он обнаружил, что после загрузки в облако Microsoft необходимые ему файлы пропали из специально выделенной для их хранения папки, а OneDrive счел подборку опасной и отправил ее в утиль.

Тогда исследователь начал упаковывать образцы в 7z-архивы, защищенные паролем “infected”. До недавнего времени эта хитрость неизменно срабатывала, и коллекция Брандта оставалась нетронутой. Однако с начала этой недели, по его словам, инструменты защиты облачных сервисов детектирует и такие угрозы.

Microsoft не признается, Google отрицает

В Microsoft не ответили на вопросы Ars Technica, касающиеся техник обхода парольной защиты 7z-архивов, реализованных в облачных сервисах корпорации.

Представитель Google заверил издание в том, что в компании к подобным мерам защиты пользователей не прибегают. Почтовый сервис Gmail, по словам собеседника Ars Technica, особым образом помечает письма, содержащие зашифрованные архивы.

Две стороны медали

Практически наверняка внедрение новшества, на которое обратили внимание исследователи, спасло значительное количество пользователей облачных сервисов Microsoft от попадания в сети злоумышленников, полагающихся на социальную инженерию.

С другой стороны, по мнению Брандта, «вскрытие» архивов методом подбора пароля, даже в интересах пользователя, может показаться чересчур агрессивной мерой.

Некоторые факты о 7-Zip

7-Zip является архиватором, который распространяется я на бесплатной основе и имеет открытый исходный код. Это прямой конкурент WinZip и WinRAR, поддерживающий подавляющее большинство современных форматов архивов, включая .rar, .zip, .tar и др. Его разработка ведется с 1999 г.

Одним из главных преимуществ 7-Zip, помимо возможности пользоваться им на бесплатной основе, является собственный формат 7z. Он поддерживает очень высокую степень сжатия, обеспеченную использованием усовершенствованного алгоритма Лемпеля-Зива.

Дмитрий Степанов

Поделиться

Подписаться на новости Короткая ссылка