Microsoft 365 умеет сканировать запароленные ZIP в поисках вредоносов

Microsoft 365 умеет сканировать запароленные ZIP в поисках вредоносов

Microsoft 365 умеет сканировать запароленные ZIP в поисках вредоносов

ИБ-аналитики сетуют, что их возможности обмена образцами неуклонно сокращаются. В попытках оградить пользователей от известных угроз облачные провайдеры, такие как Microsoft, используют сканирование файлов, и подобные средства способны обойти парольную защиту.

Распространители зловредов, использующие имейл и скрытые загрузки (drive-by) зачастую помещают свой код в ZIP-файл, чтобы обойти антивирусную защиту. Некоторые злоумышленники идут дальше и запароливают такие архивы; как оказалось, это тоже не панацея: некоторые онлайн-сервисы пытаются преодолеть это препятствие и просканировать архив на предмет потенциально опасного контента.

ИБ-исследователь Эндрю Брандт (Andrew Brandt) случайно обнаружил, что такая возможность имеется у Microsoft. Он пытался по привычке расшарить очередные семплы через SharePoint, но веб-инструмент пометил ZIP-файлы, которые эксперт обычно защищает паролем «infected», как вредоносные, заблокировав таким образом любые действия с ними.

В комментарии к посту безутешного Брандта его коллега по цеху Кевин Бомон (Kevin Beaumont) отметил, что Microsoft использует различные методы обхода парольной защиты ZIP, притом не только на SharePoint, но на всех облачных сервисах-365.

С этой целью защита может, например, извлекать похожие на ключи данные из тела письма или имени прикрепленного файла. Если пароль уже засветился в атаках, его наличие можно выявить перебором по списку.

В ответ на запрос Ars Technica о комментарии Брандт рассказал о еще одном случае, когда облачные средства безопасности создали ему большие неудобства. В прошлом году исследователь решил сделать OneDrive-бэкап из вредоносных файлов — находок, которые он сохранял на портативном Windows-компьютере, создавая исключения для антивирусной защиты.

Впоследствии выяснилось, что после копирования в облако файлы на лэптопе исчезали, а в аккаунте OneDrive появлялись детекты вредоносов. Потеряв всю коллекцию, аналитик начал архивировать новые находки, создавая файлы под паролем; до недавнего времени SharePoint на них не реагировал, а теперь выставляет флаги.

Как оказалось, веб-сервисы Google тоже помечают запароленные ZIP как потенциально опасные, но внутрь архивов не заглядывают. Так, Gmail исправно отслеживает такие вложения во входящей корреспонденции, а аккаунты Workspace блокируют их отправку.

kernel.org внезапно опустел: на зеркалах случайно удалили архивы ядра Linux

У kernel.org случился редкий инфраструктурный конфуз: из-за ошибки при настройке нового первичного зеркала и изменении системы синхронизации внезапно опустел каталог kernel.org/pub/. Именно там на публичных зеркалах хранились архивы с кодом выпусков ядра Linux, патчи и файлы со списками изменений.

Пользователи, заходившие в каталог, вместо привычного дерева файлов увидели пустоту. Очень философский опыт для мира открытого кода.

В Linux Foundation объяснили, что данные не потеряны: пострадали только копии на публичных зеркалах. Эталонные данные с кодом ядра Linux остались целы. Проблема возникла именно в инфраструктуре зеркалирования, где ошибочная настройка привела к удалению содержимого на существующих зеркалах.

Команда проекта уже занимается восстановлением данных. Но, как метко заметили участники kernel.org, удаление происходит быстро, а восстановление — медленно. Поэтому пользователей попросили набраться терпения.

Инцидент оказался неприятным не только для тех, кто привык скачивать архивы ядра напрямую с kernel.org. Он задел и сторонние проекты. Например, в Fedora сломались браузерные тесты openQA: много лет назад разработчики выбрали kernel.org как надёжный источник для проверки загрузки файлов.

Исходники ядра не исчезли, инфраструктура восстанавливается, а речь идет именно о зеркалах, но инцидент напоминает, что в больших системах даже аккуратная настройка зеркал может обернуться массовым rm -rf по публичным копиям.

RSS: Новости на портале Anti-Malware.ru