Birkaç kullanıcının Pazartesi günü Mastodon'da bildirdiğine göre, Microsoft bulut hizmetleri, bir parola ile korunduklarında bile kullanıcıların zip dosyalarının içine göz atarak kötü amaçlı yazılım taraması yapıyor.

Dosya içeriklerini arşivlenmiş zip dosyalarına sıkıştırmak, aktörlerin e-posta veya indirme yoluyla yayılan kötü amaçlı yazılımları gizlemek için uzun süredir kullandıkları taktik bir tehdit olmuştur. Sonunda, bazı tehdit aktörleri, kötü amaçlı zip dosyalarını son kullanıcının dosyayı orijinal biçimine dönüştürürken yazması gereken bir parolayla koruyarak uyum sağladı. Microsoft, zip dosyalarında parola korumasını atlamayı deneyerek ve başarılı olduğunda onları kötü amaçlı kod için tarayarak bu hamleyi bir adım öteye taşıyor.

Microsoft bulut ortamlarında parola korumalı dosyaların analizi bazı kişiler tarafından iyi bilinse de Andrew Brandt için sürpriz oldu. Güvenlik araştırmacısı, kötü amaçlı yazılımları SharePoint aracılığıyla diğer araştırmacılarla paylaşmadan önce parola korumalı zip dosyalarında uzun süre arşivledi. Pazartesi günü, Microsoft işbirliği aracının yakın zamanda "virüslü" parolasıyla korunan bir zip dosyasını işaretlediğini bildirmek için Mastodon'a gitti.

"Bunu bir kötü amaçlı yazılım analisti dışındaki herkes için yapmayı tamamen anlasam da, bu tür meraklı, işine girme yöntemi, benim gibi iş arkadaşlarına kötü amaçlı yazılım örnekleri göndermesi gereken insanlar için büyük bir sorun haline gelecek. Brandt şöyle yazdı: "Bunu yapmak için mevcut alan daralmaya devam ediyor ve bu, kötü amaçlı yazılım araştırmacılarının işlerini yapma yeteneklerini etkileyecek."

Araştırmacı Kevin Beaumont, Microsoft'un parola korumalı zip dosyalarının içeriğini taramak için birden çok yöntemi olduğunu ve bunları yalnızca SharePoint'te depolanan dosyalarda değil, tüm 365 bulut hizmetlerinde kullandığını söylemek için tartışmaya katıldı. Bir yol, bir e-postanın gövdelerinden veya dosyanın adından olası şifreleri çıkarmaktır. Diğeri, dosyayı bir listede yer alan parolalardan biriyle korunup korunmadığını görmek için test etmektir.

"Kendinize bir şey postalarsanız ve 'ZIP şifresi Soph0s' gibi bir şey yazarsanız, EICAR'ı sıkıştırın ve Soph0s ile ZIP şifresini yazın, şifreyi bulur, ayıklar ve bulur (ve MS tespitini besler)," diye yazdı.

Brandt, geçen yıl Microsoft'un OneDrive'ının uç nokta güvenlik araçlarında bir istisna (yani izin verilenler listesi) oluşturduktan sonra Windows klasörlerinden birinde sakladığı kötü amaçlı dosyaları yedeklemeye başladığını söyledi. Daha sonra, dosyaların OneDrive'a ulaştıktan sonra dizüstü bilgisayarının sabit diskinden silindiğini ve OneDrive hesabında kötü amaçlı yazılım olarak algılandığını keşfetti.

"Bütün grubu kaybettim," dedi.

Brandt daha sonra kötü amaçlı dosyaları "virüslü" parolasıyla korunan zip dosyalarında arşivlemeye başladı. Geçen haftaya kadar SharePoint'in dosyaları işaretlemediğini söyledi. Şimdi öyle.

Microsoft temsilcileri, bulut hizmetlerinde depolanan dosyaların parola korumasını aşma uygulamalarını soran bir e-posta aldıklarını onayladı. Şirket bir cevapla takip etmedi.

Bir Google temsilcisi, şirketin parola korumalı zip dosyalarını taramadığını, ancak kullanıcılar böyle bir dosya aldığında Gmail'in bunları işaretlediğini söyledi. Google Workspace tarafından yönetilen iş hesabım da şifre korumalı bir zip dosyası göndermemi engelledi.

Uygulama, çevrimiçi hizmetlerin son kullanıcıları ortak tehditlerden korumaya çalışırken aynı zamanda mahremiyete saygı duymaya çalışırken sıklıkla yürüdüğü ince çizgiyi göstermektedir. Brandt'ın da belirttiği gibi, parola korumalı bir zip dosyasını aktif olarak kırmak istilacı hissettiriyor. Aynı zamanda bu uygulama, çok sayıda kullanıcının bilgisayarlarını etkilemeye çalışan sosyal mühendislik saldırılarının tuzağına düşmesini neredeyse kesinlikle engellemiştir.

Okuyucuların hatırlaması gereken bir şey daha var: Parola korumalı zip dosyaları, arşivlerdeki içeriğin okunamayacağı konusunda minimum düzeyde güvence sağlar. Beaumont'un belirttiği gibi, Windows'ta zip dosyalarını şifrelemek için varsayılan araç olan ZipCrypto'yu geçersiz kılmak önemsizdir. Daha güvenilir bir yol, 7z dosyaları oluştururken birçok arşiv programında yerleşik bir AES-256 şifreleyici kullanmaktır.