Microsoft untersucht auch passwortgeschützte .zip-Dateien auf Malware
Fluch oder Segen: Microsofts Dienste untersuchen sogar passwortgeschützte ZIP-Archive auf Malware. Das fiel jetzt IT-Sicherheitsforschern auf.
(Bild: vectorfusionart/Shutterstock.com)
Dem IT-Sicherheitsforscher Andrew Brandt fiel am Montag dieser Woche auf, dass sein Sharepoint-Server die Fähigkeit besitzt, in passwortgeschützten ZIP-Archiven zu scannen. Einige seiner .zip-Dateien seien am Morgen mit "Malware erkannt" versehen worden, wodurch ein Zugriff darauf nicht mehr möglich ist.
Der IT-Forscher führt auf Mastodon aus, dass er zahlreiche .zip-Dateien hat, die Malware enthalten und mit einem Passwort verschlüsselt sind. Diese Dateien sammle er in einem Verzeichnis auf dem Sharepoint-Server. Während Brandt volles Verständnis dafür habe, das für alle anderen außer Malware-Analysten zu tun, sei "diese Art von neugierigem, sich in deine-Geschäfte-einmischenden Umgang für Leute wie mich, die ihren Kollegen Malware-Samples schicken müssen, ein großes Problem".
Microsoft-Dienste: Passwortlisten und mehr
Kevin Beaumont, seines Zeichens ebenfalls IT-Sicherheitsforscher, antwortete darauf, das im Virenaustausch übliche Passwort "infected" nicht zu verwenden. Es stehe auf einer Passwort-Liste, die Microsoft durchprobiere. Beaumont ergänzte, dass die Microsoft-Dienste auch Passwörter aus Mail-Bodys extrahieren.
Diese Funktion kam offenbar erst in jüngster Vergangenheit zu Sharepoint hinzu. Brandt verstehe den Lösungsvorschlag, betrachte das aber als nicht praktikabel bei hunderten ZIPs mit Samples von Spam, Malware und ähnlichem: "Das scheint eine lästige und problematische Sache zu sein, mich zu zwingen, alles in meinem Archiv zu ändern". Beaumont pflichtet bei und fügt hinzu, dass er Sharepoint nicht für "Zeugs wie dieses" nutzen würde.
Brandt stieß bereits im vergangenen Jahr auf das Problem, dass Microsoft OneDrive Backups von seinem Arbeits-Laptop angelegt hatte. Auch von einem Ordner, der im lokalen Virenschutz als Ausnahme eingetragen war. Nach dem Hochladen wurden die Dateien darin lokal gelöscht und in der Cloud als Malware ausgewiesen – er habe dadurch alle verloren. Seitdem sei er auf die Nutzung des Passworts "infected" umgestiegen, was bis vergangene Woche gutging.
Angreifer missbrauchen OneDrive und Sharepoint
Beaumont erklärte in der weiteren Diskussion, dass Cyberkriminelle OneDrive und Sharepoint zum Verteilen von Malware missbrauchten. Für Verbraucher sei es ein Gewinn, wenn "Zeug untersucht wird".
Google untersucht auf die Cloud-Systeme hochgeladene Daten ebenfalls auf schädliche, strafbare oder rechtswidrige Inhalte. Allerdings knackt das Unternehmen dabei keine Passwörter.
(dmk)
