Не секрет, что облака сканируют содержимое файлов пользователей. И активно противодействуют распространенному способу, к которому прибегают пользователи в попытке защитить свои данные – размещение файлов в архиве с паролем. Google, например, блокирует отправку парольных архивов в Gmail. А Microsoft, как стало известно на днях, подбирает пароль в архив, чтобы его прочесть.
О том, что «облако» Microsoft сканирует файлы в защищенных паролем архивах, сообщил исследователь безопасности Эндрю Брандт. Он передает в защищенных паролем zip-архивах образцы вирусов. Образцы он передавал через сервис SharePoint. Брандт сообщил, что этот инструмент для сотрудничества Microsoft недавно обозначил его защищенный паролем zip-файл как «инфицированный».
Коллега-исследователь Кевин Бомонт сообщил, что Microsoft имеет несколько методов сканирования содержимого защищенных паролем zip-файлов и использует их не только для хранящихся в SharePoint файлов, но и для всех своих облачных служб 365.
Одним из способов является нахождение любых возможных паролей из тела электронного письма или названия самого файла. Например, если запароленный архив будет называться «пароль Soph0s», система Microsoft найдет этот файл в имени файла и сможет распаковать архив.
Другой способ – попытаться подобрать пароль к архиву из списка известных паролей.
Брандт также сказал, что в прошлом году OneDrive от Microsoft начал создавать резервные копии вредоносных файлов, которые он хранил в одной из папок Windows, для которой он создал разрешение в антивирусе. Позже он обнаружил, что как только файлы попали в OneDrive, они были стерты с жесткого диска его ноутбука и обнаружены как вредоносное ПО в его аккаунте OneDrive.
Тогда Брандт начал архивировать вредоносные файлы в zip-файлы, защищенные паролем «infected». По его словам, до прошлой недели SharePoint не указывал файлы как инфицированные.
