Одразу кілька користувачів повідомили днями, що хмарні служби Microsoft здатні сканувати zip-файли користувачів на наявність шкідливих програм, навіть якщо вони захищені паролем.

Як відомо, технологія переміщення зловмисного ПЗ в zip-архіви вже давно використовується хакерами, щоб приховати шкідливий код, що поширюється через електронну пошту чи завантаження. Згодом деякі зловмисники змінили тактику, захищаючи свої шкідливі zip-файли за допомогою пароля, який кінцевий користувач має ввести під час перетворення файлу назад у вихідну форму. Але Microsoft вдосконалила свої технології і тепер намагається обійти захист паролем у zip-файлах – і в разі успіху сканує їх на наявність шкідливого коду.

Це стало несподіванкою для деяких дослідників з безпеки, які архівували зловмисний код в захищених паролем zip-файлах, перш ніж обмінюватися ними з іншими дослідниками через SharePoint. Але тепер Microsoft позначає такі zip-файли, що були захищені паролем, як «інфіковані». І це може стати великою проблемою для дослідників, яким потрібно надіслати своїм колегам зразки шкідливого програмного забезпечення.

Пізніше виявилося, що Microsoft має кілька методів сканування вмісту захищених паролем zip-файлів і використовує їх не лише для файлів, що зберігаються в SharePoint, але й для всіх своїх хмарних служб 365. Одним із способів є вилучення будь-яких можливих паролів із тіла електронної пошти або назви самого файлу. Інший спосіб – перевірити файл, чи він захищений одним із паролів, які містяться у списку. Тобто якщо прямо в електронному листі вказати, що пароль до ZIP-архіва — «123456», то сервіс безпеки від Microsoft знайде цей пароль, витягне його та використає для дешифрування файлу.

Представник Google сказав, що компанія не сканує захищені паролем zip-файли, хоча Gmail позначає їх, коли користувачі отримують такий файл. Але траплялися випадки, коли Gmail просто не надсилав листи з вкладеним запароленим zip-архівом.

Все вищезгадане ілюструє, що онлайн-сервісам часто доводиться проходити «по тонкому льоду», щоб захистити кінцевих користувачів від типових загроз. З одного боку, активний злом захищеного паролем zip-файлу виглядає агресивним та нелигітимним. У той же час ця практика майже напевно запобігла тому, що велика кількість користувачів могли стати жертвами атак соціальної інженерії.

Слід також пам’ятати, що захищені паролем zip-файли забезпечують мінімальну гарантію того, що вміст всередині архівів неможливо прочитати. Більш надійним способом є використання шифратора AES-256, вбудованого в більшість програм-архіваторів під час створення архівів типу 7z.