微軟雲端儲存將自動解開掃描受密碼保護的壓縮檔案 以免暗藏惡意程式

微軟雲端服務為了防止惡意程式，將開始掃瞄ZIP檔，即使是設了密碼的檔案。

將檔案存成壓縮檔已是網路駭客常見躲避掃瞄的手法，他們將這種惡意壓縮檔，以電子郵件或上傳雲端以散布給受害者，再叫用戶輸入密碼解開檔案以達到感染受害者電腦的目的。可能因此促使微軟提高侵入式的掃瞄。

資安人員的困擾

安全研究人員Andrew Brandt過去都把惡意程式樣本存成ZIP檔加上密碼，再透過SharePoint分享給同事。但他近日發現，現在微軟將ZIP檔標示為惡意程式，導致上傳失敗。他說雖然微軟此舉是為了保護大眾用戶，但是侵入式檢查對安全研究人員來說很困擾，空間愈來愈小了。

資深資安專家Kevin Beaumont則說，微軟有很多方法可以掃瞄密碼保護的ZIP檔，不只是在SharePoint上，在所有Microsoft 365都是如此。一個方法是從郵件本文或檔名中取得密碼。另一個方法則是以其密碼清單來比對能否解鎖檔案。

如果你發了封信寫道Soph0s的ZIP密碼，然後以Soph0s來加密，微軟就會從中擷取出密碼並搜尋是否有這種壓縮檔。

Brandt說去年微軟OneDrive已開始拒絕他存在Windows資料夾中的惡意程式檔案。原本桌機的端點安全工具允許研究人員建立例外清單，但他後來發現一旦檔案上傳到OneDrive，桌機硬碟內的檔案就被判讀為惡意程式而刪光。之後他才改存成ZIP檔以infect這個密碼來傳送檔案，不過從上周起顯然再也行不通了。

微軟坦承曾收到研究人員來信詢問為何會被刪檔案，不過微軟當時沒有回覆。

Google僅標示加密ZIP需小心

Google表示，Google Workspace並不會掃瞄密碼保護的檔案，但一旦信件中挾帶此類檔案，Gmail會特別標示出來提醒用戶小心。

此類爭議也突顯雲端服務業者在確保用戶安全又要尊重隱私的兩難。Brandt認為這種掃瞄ZIP檔的作法令人感覺受到侵犯。

另一值得注意的地方是，ZIP檔提供的防護相當有限。Beaumont指出，Windows提供的ZipCrypto加密法很容易破解，較好的方法是像7z等加密程式使用內建AES-256的工具來加密檔案。

來源：Ars Technica