Zaszyfrowanie "wątpliwych" plików w archiwach ZIP lub RAR z hasłem jest znanym sposobem na bezpieczne ich przetransportowanie, tak aby skanery antywirusowe w systemie i na dysku w chmurze nie próbowały ich blokować. Wygląda jednak na to, że SharePoint nie podlega tej zasadzie i skanuje takie archiwa za pomocą silnika Microsoft 365 Defender. To niekoniecznie dobra wiadomość.
Andrew Brandt L, Principal Security Researcher w Sophos, odkrył to nowe zachowanie SharePointa, gdy jego zaszyfrowane, chronione hasłem archiwum zostało przeskanowane przez silnik wykrywania malware Microsoft 365:
Cóż, najwidoczniej #microsoft #Sharepoint ma teraz możliwość skanowania wewnątrz archiwów zip chronionych hasłem. Skąd to wiem? Ponieważ mam wiele Zipów (szyfrowanych z hasłem), które zawierają malware, a moją typową metodą udostępniania ich jest wgrywanie tych zahasłowanych Zipów do katalogu Sharepointa. Dziś rano odkryłem, że klika chronionych hasłem Zipów zostało oflagowanych jako "Wykryto złośliwe oprogramowanie", co ogranicza to, co mogę zrobić z tymi plikami — to w zasadzie są one teraz martwą strefą.
Badacz zabezpieczeń podkreśla, że nie jest to koniecznie złe posunięcie, jako że wielu cyberprzestępców korzysta z tej metody, aby ominąć skanery antywirusowe, jednak jego zdaniem ten rodzaj wścibiania nosa w nieswoje sprawy stanie się dużym problemem dla ludzi takich jak ja, którzy muszą wysyłać swoim współpracownikom próbki złośliwego oprogramowania. Dostępna przestrzeń do tego po prostu się kurczy, co wpłynie na zdolność badaczy złośliwego oprogramowania do wykonywania ich pracy.
Oficjalna dokumentacja Microsoftu dotycząca wbudowanej ochrony antywirusowej w SharePoint Online wyjaśnia:
Silnik wykrywania wirusów w Microsoft 365 skanuje pliki asynchronicznie (po pewnym czasie od uploadu). Jeśli plik nie był jeszcze przeskanowany przez asynchroniczny proces wykrywania wirusów, a użytkownik wywołał pobieranie pliku przez przeglądarkę lub z Teams, skanowanie pobrania jest wywołane przez SharePoint, zanim pobieranie będzie dozwolone. Nie wszystkie typy plików są automatycznie skanowane. Heurystyka ustala, które pliki przeskanować.
SharePoint oferuje również opcję bezpiecznych załączników (Safe Attachments):
Gdy bezpieczne załączniki dla programu SharePoint, OneDrive i Microsoft Teams są włączone i identyfikują plik jako złośliwy, plik jest zablokowany przy użyciu bezpośredniej integracji z magazynami plików. Mimo że zablokowany plik jest nadal wyświetlany w bibliotece dokumentów oraz w aplikacjach internetowych, mobilnych lub klasycznych, użytkownicy nie mogą otwierać, kopiować, przenosić ani udostępniać pliku. Mogą jednak usunąć zablokowany plik.
Żaden z tych artykułów nie wspomina jednak o skanowaniu zaszyfrowanych, zabezpieczonych hasłem archiwów ZIP czy RAR. Wygląda więc na to, że Microsoft wprowadził ten mechanizm po cichu całkiem niedawno. Zostaje jeszcze pytanie, w jaki sposób silnik dostaje się do zaszyfrowanych archiwów. Czy zachodzi tu łamanie hasła? Brandt twierdzi, że silnik prawdopodobnie korzysta z metody słownikowej. Stosowane przez badacza hasło "infected" dla próbek do tej pory zdawało egzamin. Jest to jednak bardzo proste hasło znajdujące się w słowniku.
341f31d.png)