研究人员发现微软的SharePoint现在可以扫瞄平台上的Zip文件,即使文件启用密码防护。
安全研究人员Andrew Brandt日前因为工作之故,将恶意程式样本压缩成Zip并启动密码为「infected」的保护,欲上传公司SharePoint的文件夹分享给同事。 他不久后接到传送失败的系统通知,理由是侦测到有恶意程序。 研究人员说,过去这种方法都行得通,显然微软现在更积极扫描用户以密码保护的文件。 他虽然理解微软是为了安全考量,但这种作法不但有刺探性,也限制了安全研究的空间。
图片来源_Andrew Brandt
安全专家Kevin Beaumont相信,这是这名用户使用的密码不够安全所致,因为微软产品具有一个密码列表能在传送文件时执行扫瞄,它还会从传送的信件中截取出密码。 Beaumont指出,在Windows中加密Zip文件的ZipCrypto技术只能提供相当基本的加密保护,至少要使用AES-256加密才够安全。 就安全研究而言,他也建议不要在微软平台上进行研究。
微软之所以提高对文件的检查意图也其来有自。 愈来愈多黑客滥用密码保护,通过SharePoint及云端硬盘服务传送恶意程序感染用户。 例如有研究人员发现黑客组织Mustang Panda将有密码保护的压缩文件上传百度Drive以躲避扫瞄,朝鲜黑客组织Kimsuky则引诱受害者到OneDrive下载以密码保护的恶意Word文件。
百度对《Ars Technica》声称,百度Workspace 并不会扫瞄密码保护的文件,但一旦信件中挟带此类文件,Gmail的确会将之标示出来提醒用户小心。
