Microsoft’un parola korumalı .ZIP arşivlerini kötü amaçlı yazılımlara karşı taramaya başladığı bildirildi (yeni sekmede açılır) ve karardan herkes memnun değil.
Parola korumalı .ZIP arşivleri, e-posta güvenlik hizmetleri nadiren işaretlediğinden, e-posta yoluyla kötü amaçlı yazılım dağıtmak isteyen siber suçlular arasında en popüler taktiklerden biridir.
“Meraklı uygulamalar”
Yayın, uygulamanın “bazı insanlar tarafından iyi bilindiğini”, ancak diğerleri için sürpriz olduğunu iddia ediyor. Örneğin, siber güvenlik araştırmacısı Andrew Brandt, kötü amaçlı yazılımları SharePoint aracılığıyla araştırmacı arkadaşlarıyla paylaşmasını zorlaştırdığından, bu fikirden pek memnun kalmadı.
“Bunu bir kötü amaçlı yazılım analisti dışındaki herkes için yapmayı tamamen anlasam da, bu tür meraklı, işine girme yöntemi, benim gibi iş arkadaşlarına kötü amaçlı yazılım örnekleri göndermesi gereken insanlar için büyük bir sorun haline gelecek. Brandt şöyle yazdı: “Bunu yapmak için mevcut alan daralmaya devam ediyor ve bu, kötü amaçlı yazılım araştırmacılarının işlerini yapma yeteneklerini etkileyecek.”
Başka bir araştırmacı olan Kevin Beaumont, şirketin yalnızca SharePoint’te depolanan dosyaları değil, Microsoft 365 bulut hizmetlerindeki her yeri taradığını ve parola korumalı arşivlere göz atmanın birden çok yöntemi olduğunu sözlerine ekledi. Görünüşe göre bir yol, potansiyel şifreler için e-postanın içeriğini taramak. Bazen, .ZIP arşivlerini birbirlerine postalayan kişiler, parolayı e-postanın gövdesinde paylaşır.
“Kendinize bir şey postalarsanız ve ‘ZIP şifresi Soph0s’, EICAR’ı sıkıştırın ve Soph0s ile ZIP şifresi yazın, şifreyi bulur, ayıklar ve bulur” diye yazdı.
Bu, bazı kişiler için şaşırtıcı gelse de, Ars Technica, parola korumalı .ZIP dosyalarının, yetkisiz bir üçüncü tarafın içeriği okuyacağına dair “minimum düzeyde güvence sağladığını” hatırlatır. “Windows’ta zip dosyalarını şifrelemek için varsayılan araç, geçersiz kılmak önemsizdir. Daha güvenilir bir yol, 7z dosyaları oluştururken birçok arşiv programında yerleşik olarak bulunan bir AES-256 şifreleyici kullanmaktır.”
Aracılığıyla: Ars Teknik (yeni sekmede açılır)
