Cada medalla tiene su otra cara. Este es también el caso de la decisión de microsoft para escanear automáticamente todos los archivos de Sharepoint en busca de malware, incluso si están comprimidos y protegidos con contraseña. A primera vista, se trata de una buena noticia para luchar contra la propagación o el intercambio de malware realizado por los ciberatacantes. Pero esta capacidad plantea un gran problema para los investigadores de seguridad que en su trabajo envían muestras de malware y/o las almacenan en Sharepoint.

"Esta mañana descubrí que algunos Zips protegidos con contraseña estaban marcados como 'Malware detectado', lo que limita lo que puedo hacer con estos archivos; ahora son básicamente espacio muerto". lo lamentaba El investigador de seguridad Andrew Brandt. "Aunque entiendo perfectamente por qué otras personas, además de un analista de malware, harían esto, este enfoque de inmiscuirse en su negocio se convertirá en un gran problema para personas como yo, que deberían enviar muestras de malware a sus colegas. El espacio disponible para hacer esto es Cada vez se reduce más y esto afectará la capacidad de los investigadores de malware para hacer su trabajo”.

Índice
  1. Microsoft experto en analizar archivos comprimidos
  2. Protección de archivos ZipCrypto fácil de eludir

Microsoft experto en analizar archivos comprimidos

Otro experto, Kevin Beaumont, también reaccionó indicando que Microsoft tiene varios métodos para analizar el contenido de los archivos zip protegidos con contraseña y que los utiliza no sólo para los archivos almacenados en SharePoint, sino también para todos sus servicios en la nube 365. Un método es extraer cualquier contraseña posible del cuerpo de un correo electrónico o del nombre del archivo mismo, otro es probar el archivo para ver si está protegido por alguna de las contraseñas contenidas en una lista. "Si se envía algo por correo electrónico y escribe algo como la contraseña ZIP es Sophos, ZIP up EICAR y la contraseña ZIP con Sophos, encontrará la contraseña, la extraerá y alimentará la detección de Microsoft". que se sepa Kevin Beaumont.

Andrew Brandt también explicó que "el año pasado, OneDrive de Microsoft comenzó a realizar copias de seguridad de archivos maliciosos que había almacenado en una de sus carpetas de Windows después de crear una excepción en sus herramientas de seguridad de endpoints" y luego descubrió "que una vez que los archivos se transfirieron a OneDrive, se borrado del disco duro de su computadora portátil y detectado como malware en su cuenta de OneDrive". Con la consecuencia de perder todos sus archivos. Luego, Andrew Brandt comenzó a archivar los archivos maliciosos en archivos zip protegidos con la contraseña "infectado". Según él, hasta la semana pasada SharePoint no reportaba archivos, como ocurre hoy.

Protección de archivos ZipCrypto fácil de eludir

Tenga en cuenta que los archivos comprimidos protegidos con contraseña no ofrecen garantía suficiente de que el contenido de los archivos no se pueda leer. Al utilizar la herramienta ZipCrypto predeterminada en Windows, la protección de archivos sigue siendo fácil de eludir. Por lo tanto, un método más fiable es utilizar un cifrado AES-256 integrado en muchos programas de archivo al crear archivos 7z, por ejemplo.