Les services cloud de Microsoft recherchent les logiciels malveillants en jetant un coup d’œil dans les fichiers zip des utilisateurs, même lorsqu’ils sont protégés par un mot de passe, ont rapporté plusieurs utilisateurs sur Mastodon lundi.
La compression du contenu des fichiers dans des fichiers zip archivés est depuis longtemps une tactique utilisée par les acteurs de la menace pour dissimuler la propagation des logiciels malveillants par e-mail ou par téléchargement. Finalement, certains acteurs de la menace se sont adaptés en protégeant leurs fichiers zip malveillants avec un mot de passe que l’utilisateur final doit saisir lors de la conversion du fichier dans sa forme d’origine. Microsoft accélère ce mouvement en tentant de contourner la protection par mot de passe dans les fichiers zip et, en cas de succès, en les analysant à la recherche de code malveillant.
Alors que l’analyse des fichiers protégés par mot de passe dans les environnements cloud de Microsoft est bien connue de certaines personnes, elle a surpris Andrew Brandt. Le chercheur en sécurité a longtemps archivé les logiciels malveillants dans des fichiers zip protégés par mot de passe avant de les échanger avec d’autres chercheurs via SharePoint. Lundi, il s’est rendu à Mastodon pour signaler que l’outil de collaboration de Microsoft avait récemment signalé un fichier zip, qui avait été protégé par le mot de passe “infecté”.
“Bien que je comprenne tout à fait de faire cela pour quelqu’un d’autre qu’un analyste de logiciels malveillants, ce genre de façon curieuse de gérer cela va devenir un gros problème pour les gens comme moi qui ont besoin d’envoyer des échantillons de logiciels malveillants à leurs collègues. “, Brandt a écrit. “L’espace disponible pour le faire ne cesse de diminuer et cela aura un impact sur la capacité des chercheurs de logiciels malveillants à faire leur travail.”
Le chercheur Kevin Beaumont s’est joint à la discussion pour dire que Microsoft dispose de plusieurs méthodes pour analyser le contenu des fichiers zip protégés par mot de passe et les utilise non seulement sur les fichiers stockés dans SharePoint, mais sur tous ses 365 services cloud. Une façon consiste à extraire tous les mots de passe possibles du corps d’un e-mail ou du nom du fichier lui-même. Une autre consiste à tester le fichier pour voir s’il est protégé par l’un des mots de passe contenus dans une liste.
“Si vous vous envoyez quelque chose par courrier et que vous tapez quelque chose comme” le mot de passe ZIP est Soph0s “, compressez EICAR et mot de passe ZIP avec Soph0s, il trouvera (le) mot de passe, extraira et trouvera (et alimentera la détection MS) “, a-t-il écrit.
Brandt a déclaré que l’année dernière, OneDrive de Microsoft avait commencé à sauvegarder les fichiers malveillants qu’il avait stockés dans l’un de ses dossiers Windows après avoir créé une exception (c’est-à-dire autoriser la liste) dans ses outils de sécurité des terminaux. Il a découvert plus tard qu’une fois les fichiers arrivés sur OneDrive, ils ont été effacés du disque dur de son ordinateur portable et détectés comme logiciels malveillants dans son compte OneDrive.
“J’ai perdu tout le groupe”, a-t-il déclaré.
Brandt a alors commencé à archiver les fichiers malveillants dans des fichiers zip protégés par le mot de passe « infecté ». Jusqu’à la semaine dernière, a-t-il dit, SharePoint ne marquait pas les fichiers. C’est maintenant.
Les représentants de Microsoft ont accusé réception d’un e-mail les interrogeant sur les pratiques de contournement de la protection par mot de passe des fichiers stockés dans ses services cloud. L’entreprise n’a pas donné de réponse.
Un représentant de Google a déclaré que la société n’analyse pas les fichiers zip protégés par mot de passe, bien que Gmail les signale lorsque les utilisateurs reçoivent un tel fichier. Mon compte professionnel géré par Google Workspace m’a également empêché d’envoyer un fichier zip protégé par mot de passe.
La pratique illustre la ligne fine que les services en ligne marchent souvent lorsqu’ils tentent de protéger les utilisateurs finaux contre les menaces courantes tout en respectant la vie privée. Comme le note Brandt, craquer activement un fichier zip protégé par mot de passe semble invasif. Dans le même temps, cette pratique a presque sûrement empêché un grand nombre d’utilisateurs d’être la proie d’attaques d’ingénierie sociale tentant d’infecter leurs ordinateurs.
Une autre chose que les lecteurs doivent retenir : les fichiers zip protégés par mot de passe offrent une assurance minimale que le contenu des archives ne peut pas être lu. Comme l’a noté Beaumont, ZipCrypto, le moyen par défaut pour chiffrer les fichiers zip dans Windows, est trivial à remplacer. Un moyen plus fiable consiste à utiliser un chiffreur AES-256 intégré à de nombreux programmes d’archivage lors de la création de fichiers 7z.