تقوم خدمات السحابة من Microsoft بالمسح بحثًا عن البرامج الضارة عن طريق البحث داخل ملفات المستخدمين المضغوطة ، حتى عندما تكون محمية بكلمة مرور ، أبلغ العديد من المستخدمين في Mastodon يوم الاثنين.
لطالما كان ضغط محتويات الملف في ملفات مضغوطة مؤرشفة بمثابة تهديد تكتيكي يستخدمه الفاعلون لإخفاء انتشار البرامج الضارة عبر البريد الإلكتروني أو التنزيلات. في النهاية ، تكيفت بعض الجهات المهددة عن طريق حماية ملفاتهم المضغوطة الضارة بكلمة مرور يجب على المستخدم النهائي كتابتها عند إعادة الملف إلى شكله الأصلي. تقوم Microsoft بتكثيف هذه الخطوة بمحاولة تجاوز حماية كلمة المرور في الملفات المضغوطة ، وعند نجاحها ، تفحصها بحثًا عن تعليمات برمجية ضارة.
في حين أن تحليل البيئات السحابية المحمية بكلمة مرور في Microsoft معروف جيدًا لبعض الأشخاص ، فقد كان مفاجأة لأندرو براندت. قام الباحث الأمني منذ فترة طويلة بأرشفة البرامج الضارة داخل ملفات مضغوطة محمية بكلمة مرور قبل تبادلها مع الباحثين الآخرين من خلال SharePoint. في يوم الاثنين ، توجه إلى Mastodon للإبلاغ عن أن أداة تعاون Microsoft قد حددت مؤخرًا ملفًا مضغوطًا كان محميًا بكلمة مرور “مصاب”.
“على الرغم من أنني أتفهم تمامًا القيام بذلك لأي شخص بخلاف محلل البرامج الضارة ، فإن هذا النوع من طريقة التعامل مع هذا النوع من الفضوليين والتعامل مع هذا الأمر ستصبح مشكلة كبيرة للأشخاص مثلي الذين يحتاجون إلى إرسال عينات من البرامج الضارة الخاصة بهم كتب براندت: “المساحة المتاحة للقيام بذلك تتقلص وستؤثر على قدرة باحثي البرمجيات الخبيثة على أداء وظائفهم.”
انضم الباحث الزميل كيفن بومونت إلى المناقشة ليقول إن لدى Microsoft طرقًا متعددة لفحص محتويات الملفات المضغوطة المحمية بكلمة مرور وتستخدمها ليس فقط في الملفات المخزنة في SharePoint ولكن على جميع خدمات السحابة 365 الخاصة بها. تتمثل إحدى الطرق في استخراج أي كلمات مرور محتملة من نصوص البريد الإلكتروني أو من اسم الملف نفسه. آخر عن طريق اختبار الملف لمعرفة ما إذا كان محميًا بإحدى كلمات المرور الموجودة في القائمة.
كتب: “إذا أرسلت لنفسك شيئًا ما وكتبت شيئًا مثل” كلمة مرور ZIP هي Soph0s “و ZIP up EICAR وكلمة مرور ZIP مع Soph0s ، فستجد كلمة المرور (كلمة المرور) واستخراجها والعثور عليها (وتغذية اكتشاف MS)”.
قال براندت إنه في العام الماضي بدأ OneDrive من Microsoft في النسخ الاحتياطي للملفات الضارة التي قام بتخزينها في أحد مجلدات Windows الخاصة به بعد إنشاء استثناء (على سبيل المثال ، السماح بالقائمة) في أدوات أمان نقطة النهاية الخاصة به. اكتشف لاحقًا أنه بمجرد وصول الملفات إلى OneDrive ، تم مسحها من محرك الأقراص الثابتة للكمبيوتر المحمول واكتشافها كبرامج ضارة في حساب OneDrive الخاص به.
قال: “لقد فقدت المجموعة كلها”.
بدأ براندت بعد ذلك في أرشفة الملفات الضارة في ملفات مضغوطة محمية بكلمة مرور “مصابة”. وقال إنه حتى الأسبوع الماضي ، لم يقم SharePoint بوضع علامة على الملفات. هم الآن.
أقر ممثلو Microsoft باستلام بريد إلكتروني يسأل عن ممارسات تجاوز حماية كلمة المرور للملفات المخزنة في خدماتها السحابية. لم تتابع الشركة بإجابة.
قال أحد ممثلي Google إن الشركة لا تفحص الملفات المضغوطة المحمية بكلمة مرور ، على الرغم من أن Gmail تحددها عندما يتلقى المستخدمون مثل هذا الملف. منعني حساب العمل الخاص بي الذي تتم إدارته بواسطة Google Workspace أيضًا من إرسال ملف مضغوط محمي بكلمة مرور.
توضح هذه الممارسة أن الخدمات الدقيقة عبر الإنترنت تسير غالبًا عند محاولة حماية المستخدمين النهائيين من التهديدات الشائعة مع احترام الخصوصية أيضًا. كما يلاحظ براندت ، فإن كسر ملف مضغوط محمي بكلمة مرور يبدو أمرًا غازيًا. في الوقت نفسه ، من المؤكد تقريبًا أن هذه الممارسة منعت أعدادًا كبيرة من المستخدمين من الوقوع فريسة لهجمات الهندسة الاجتماعية التي تحاول إصابة أجهزة الكمبيوتر الخاصة بهم.
شيء واحد آخر يجب أن يتذكره القراء: الملفات المضغوطة المحمية بكلمة مرور توفر الحد الأدنى من التأكيد على أن المحتوى الموجود داخل الأرشيف لا يمكن قراءته. كما لاحظ بومونت ، فإن ZipCrypto ، الوسيلة الافتراضية لتشفير الملفات المضغوطة في Windows ، يعد تجاوزًا بسيطًا. هناك طريقة أكثر موثوقية تتمثل في استخدام مشفر AES-256 مضمن في العديد من برامج الأرشفة عند إنشاء ملفات 7z.
