Tehdit aktörleri, buluttaki ve yerel sistemlerdeki yerleşik tarayıcılardan kaçıyor, ancak bunları parola korumalı ZIP dosyaları olarak arşivliyor. Bu, tarayıcıların parolayı kırmasını ve kötü amaçlı dosyaları taramasını zorlaştırır.
Ancak son raporlar, Microsoft’un Sharepoint’te parola korumalı arşiv dosyalarını tarayabileceğini ve kötü amaçlı yazılım olup olmadığını kontrol edebileceğini gösteriyor.
Güvenlik araştırmacısı Andrew Brandt, infosec.exchange platformunda Sharepoint’in birkaç arşiv dosyasını taradığını ve bunları “Kötü Amaçlı Yazılım Algılandı” olarak işaretlediğini bildirdi.
Kötü amaçlı yazılım araştırması için dosyaları “virüslü” parolasıyla SharePoint’e yükledi. Yine de Microsoft tarafından tarandı ve kaldırıldı.
Gönderisinde, “Bu sabah, birkaç parola korumalı Zip’in “Kötü amaçlı yazılım algılandı” olarak işaretlendiğini keşfettim, bu da bu dosyalarla yapabileceklerimi sınırlıyor – artık temelde ölü bir alan.”
Daha fazla tartışmada, Microsoft’un tüm bulut hizmetlerinde çeşitli yöntemler kullanarak Parola korumalı ZIP dosyalarının içeriğini taradığı belirtildi.
Bu özellik, Microsoft’tan alınan bir güvenlik önlemi olarak değerlendirilebilir, ancak Brandt’ın da belirttiği gibi, “Bunu yapmak için mevcut alan daralmaya devam ediyor ve bu, kötü amaçlı yazılım araştırmacılarının işlerini yapma becerilerini etkileyecek.”.”
Konuşma sırasında Kevin Beaumont araya girerek Microsoft’un parola korumalı zip dosyalarının içeriğini taramak için çeşitli teknikler kullandığını söyledi. Bu yöntemler, SharePoint’te depolanan dosyalarla sınırlı değildir, tüm 365 bulut hizmetlerinde uygulanabilir.
Bir Google temsilcisine göre, şirket parola korumalı zip dosyalarını taramaz. Ancak Gmail, bu tür dosyaları aldıklarında kullanıcılara bildirimde bulunmaz. Ayrıca, Google Workspace tarafından yönetilen iş hesabım, şifre korumalı bir zip dosyası göndermemi yasakladı.
Parola korumalı dosyaları kötü amaçlı yazılımlara karşı taramak, kullanıcılar için bir bakıma iyidir. Ancak güvenlik araştırmacıları için kötü amaçlı yazılım araştırma verilerini ve kötü amaçlı yazılım dosyasını daha fazla analiz için herhangi biriyle paylaşmalarını sınırlar.
Bu sorunu görüşmek üzere Microsoft çalışanları ile iletişime geçildi, ancak yanıt verilmediği için sonuç alınamadı. Kullanıcılar, potansiyel olarak kötü amaçlı yazılım içerebilecek parola korumalı ZIP dosyalarını açarken dikkatli olmalıdır.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin
