Microsoft sedang memindai bagian dalam file zip yang dilindungi kata sandi untuk malware
Layanan cloud Microsoft memindai malware dengan mengintip ke dalam file zip pengguna, bahkan ketika mereka dilindungi oleh kata sandi, beberapa pengguna melaporkan di Mastodon pada hari Senin.
Mengompresi konten file menjadi file zip yang diarsipkan telah lama menjadi taktik yang digunakan pelaku ancaman untuk menyembunyikan penyebaran malware melalui e-mail atau unduhan. Akhirnya, beberapa pelaku ancaman beradaptasi dengan melindungi file zip jahat mereka dengan kata sandi yang harus diketik pengguna akhir saat mengonversi file kembali ke bentuk aslinya. Microsoft meningkatkan langkah ini dengan mencoba melewati perlindungan kata sandi dalam file zip dan, ketika berhasil, memindai mereka untuk menemukan kode berbahaya.
Sementara analisis perlindungan kata sandi di lingkungan cloud Microsoft diketahui oleh sebagian orang, itu mengejutkan Andrew Brandt. Peneliti keamanan telah lama mengarsipkan malware di dalam file zip yang dilindungi kata sandi sebelum menukarnya dengan peneliti lain melalui SharePoint. Pada hari Senin, dia turun ke Mastodon untuk melaporkan bahwa alat kolaborasi Microsoft baru-baru ini menandai file zip, yang telah dilindungi dengan kata sandi “terinfeksi”.
“Sementara saya benar-benar mengerti melakukan ini untuk siapa pun selain analis malware, cara penanganan yang usil dan masuk ke dalam bisnis Anda ini akan menjadi masalah besar bagi orang-orang seperti saya yang perlu mengirim sampel malware kepada kolega mereka. ,” tulis Brandt. “Ruang yang tersedia untuk melakukan ini terus menyusut dan itu akan memengaruhi kemampuan peneliti malware untuk melakukan pekerjaan mereka.”
Rekan peneliti Kevin Beaumont bergabung dalam diskusi untuk mengatakan bahwa Microsoft memiliki banyak metode untuk memindai konten file zip yang dilindungi kata sandi dan menggunakannya tidak hanya pada file yang disimpan di SharePoint tetapi juga semua layanan cloud 365-nya. Salah satu caranya adalah dengan mengekstrak kata sandi yang mungkin dari isi e-mail atau nama file itu sendiri. Cara lainnya adalah dengan menguji file untuk melihat apakah file tersebut dilindungi dengan salah satu kata sandi yang terdapat dalam daftar.
“Jika Anda mengirimkan sesuatu kepada diri Anda sendiri dan mengetik sesuatu seperti ‘kata sandi ZIP adalah Soph0s’, ZIP up EICAR dan kata sandi ZIP dengan Soph0s, itu akan menemukan kata sandi, mengekstrak dan menemukan (dan memberi makan deteksi MS),” tulisnya.
Brandt mengatakan bahwa tahun lalu Microsoft OneDrive mulai mencadangkan file berbahaya yang dia simpan di salah satu folder Home windows miliknya setelah membuat pengecualian (yaitu, izinkan daftar) di alat keamanan titik akhir miliknya. Dia kemudian menemukan bahwa begitu file-file itu sampai ke OneDrive, mereka dihapus dari arduous drive laptopnya dan terdeteksi sebagai malware di akun OneDrive-nya.
“Saya kehilangan semuanya,” katanya.
Brandt kemudian mulai mengarsipkan file berbahaya dalam file zip yang dilindungi dengan kata sandi “terinfeksi”. Hingga minggu lalu, katanya, SharePoint tidak menandai file tersebut. Sekarang mereka.
Perwakilan Microsoft mengakui menerima e-mail yang menanyakan tentang praktik melewati perlindungan kata sandi dari file yang disimpan di layanan cloud-nya. Perusahaan tidak menindaklanjuti dengan jawaban.
Perwakilan Google mengatakan perusahaan tidak memindai file zip yang dilindungi kata sandi, meskipun Gmail menandainya ketika pengguna menerima file semacam itu. Akun kerja saya yang dikelola oleh Google Workspace juga mencegah saya mengirim zip yang dilindungi sandi.
Praktik tersebut menggambarkan garis halus layanan on-line yang sering berjalan saat mencoba melindungi pengguna akhir dari ancaman umum sambil tetap menghormati privasi. Seperti yang dicatat Brandt, secara aktif meretas file zip yang dilindungi kata sandi terasa invasif. Pada saat yang sama, praktik ini hampir pasti telah mencegah sejumlah besar pengguna menjadi mangsa serangan rekayasa sosial yang mencoba menginfeksi komputer mereka.
Satu hal lagi yang harus diingat pembaca: file zip yang dilindungi kata sandi memberikan jaminan minimal bahwa konten di dalam arsip tidak dapat dibaca. Seperti yang dicatat Beaumont, ZipCrypto, cara default untuk mengenkripsi file zip di Home windows, mudah untuk ditimpa. Cara yang lebih dapat diandalkan adalah dengan menggunakan enkripsi AES-256 yang terpasang di banyak program arsip saat membuat file 7z.
