Los servicios en la nube de Microsoft están buscando malware al mirar dentro de los archivos zip de los usuarios, incluso cuando están protegidos por una contraseña, informaron varios usuarios en Mastodon el lunes.

Comprimir el contenido de los archivos en archivos zip archivados ha sido durante mucho tiempo una táctica que los actores de amenazas utilizan para ocultar el malware que se propaga por correo electrónico o descargas. Eventualmente, algunos actores de amenazas se adaptaron al proteger sus archivos zip maliciosos con una contraseña que el usuario final debe ingresar al convertir el archivo a su forma original. Microsoft se está basando en este movimiento al tratar de eludir la protección con contraseña en los archivos zip y, cuando tiene éxito, escanearlos en busca de código malicioso.

Si bien el análisis de Microsoft sobre la protección de contraseñas en entornos de nube es bien conocido por algunas personas, fue una sorpresa para Andrew Brandt. El investigador de seguridad ha archivado durante mucho tiempo el malware en archivos zip protegidos con contraseña antes de intercambiarlos con otros investigadores a través de SharePoint. El lunes, acudió a Mastodon para informar que la herramienta de colaboración de Microsoft había marcado recientemente un archivo zip protegido con contraseña como «infectado».

“Aunque entiendo perfectamente hacer esto para cualquier persona que no sea un analista de malware, esta forma entrometida de manejar esto se convertirá en un gran problema para las personas como yo que necesitan enviar muestras de malware a sus compañeros”. Brandt escribió. «El espacio disponible para hacer esto continúa reduciéndose y afectará la capacidad de los investigadores de malware para hacer su trabajo».

El colega investigador Kevin Beaumont se unió a la discusión para decir que Microsoft tiene varios métodos para verificar el contenido de los archivos zip protegidos con contraseña y los usa no solo en los archivos almacenados en SharePoint, sino en todos sus servicios en la nube 365. Una forma es extraer todas las contraseñas posibles del cuerpo del correo electrónico o del propio nombre del archivo. Otra es probar el archivo para ver si está protegido por una de las contraseñas de una lista.

«Si te envías algo a ti mismo y escribes algo como ‘La contraseña de ZIP es Soph0s’, comprimes EICAR y la contraseña de ZIP con Soph0s, encontrará (la) contraseña, extraerá y ubicará (y alimentará la detección de MS)», escribió. .

Brandt dijo que el año pasado, OneDrive de Microsoft comenzó a realizar copias de seguridad de los archivos maliciosos que había almacenado en una de sus carpetas de Windows después de crear una excepción (es decir, permitir la lista) en sus herramientas de seguridad de punto final. Más tarde descubrió que una vez que los archivos llegaban a OneDrive, se borraban del disco duro de su computadora portátil y se detectaban como malware en su cuenta de OneDrive.

“Extrañé a todo el grupo”, dijo.

Luego, Brandt procedió a archivar archivos maliciosos en archivos zip protegidos con la contraseña «infectado». Hasta la semana pasada, dijo, SharePoint no marcaba los archivos. Ahora lo son.

Los representantes de Microsoft acusaron recibo de un correo electrónico preguntando sobre las prácticas para eludir la protección con contraseña de los archivos almacenados en sus servicios en la nube. La compañía no siguió con una respuesta.

Un representante de Google dijo que la compañía no escanea archivos zip protegidos con contraseña, aunque Gmail los marca cuando los usuarios reciben dicho archivo. Mi cuenta de trabajo administrada por Google Workspace también me impidió enviar un archivo zip protegido con contraseña.

La práctica ilustra la delgada línea que los servicios en línea suelen transitar cuando intentan proteger a los usuarios finales de las amenazas comunes respetando la privacidad. Como señala Brandt, descifrar activamente un archivo zip protegido con contraseña parece invasivo. Al mismo tiempo, es casi seguro que esta práctica ha evitado que un gran número de usuarios sean víctimas de ataques de ingeniería social que intentan infectar sus computadoras.

Otra cosa que los lectores deben recordar: los archivos zip protegidos con contraseña brindan una garantía mínima de que el contenido dentro de los archivos no se puede leer. Como señaló Beaumont, ZipCrypto, la forma estándar de cifrar archivos zip en Windows, es trivial para reemplazar. Una forma más confiable es usar un cifrador AES-256 integrado en muchos programas de archivo al crear archivos 7z.