微軟雲端儲存將自動解開掃描受密碼保護的壓縮檔案 以免暗藏惡意程式

微軟雲端服務為了防止惡意程式，將開始掃瞄 ZIP 檔，即使是設了密碼的檔案。

將檔案存成壓縮檔已是網路駭客常見躲避掃瞄的手法，他們將這種惡意壓縮檔，以電子郵件或上傳雲端以散布給受害者，再叫用戶輸入密碼解開檔案以達到感染受害者電腦的目的。可能因此促使微軟提高侵入式的掃瞄。

資安人員的困擾

安全研究人員 Andrew Brandt 過去都把惡意程式樣本存成 ZIP 檔加上密碼，再透過 SharePoint 分享給同事。但他近日發現，現在微軟將 ZIP 檔標示為惡意程式，導致上傳失敗。他說雖然微軟此舉是為了保護大眾用戶，但是侵入式檢查對安全研究人員來說很困擾，空間愈來愈小了。

資深資安專家 Kevin Beaumont 則說，微軟有很多方法可以掃瞄密碼保護的 ZIP 檔，不只是在 SharePoint 上，在所有 Microsoft 365 都是如此。一個方法是從郵件本文或檔名中取得密碼。另一個方法則是以其密碼清單來比對能否解鎖檔案。

如果你發了封信寫道 Soph0s 的 ZIP 密碼，然後以 Soph0s 來加密，微軟就會從中擷取出密碼並搜尋是否有這種壓縮檔。

Brandt 說去年微軟 OneDrive 已開始拒絕他存在 Windows 資料夾中的惡意程式檔案。原本桌機的端點安全工具允許研究人員建立例外清單，但他後來發現一旦檔案上傳到 OneDrive，桌機硬碟內的檔案就被判讀為惡意程式而刪光。之後他才改存成 ZIP 檔以 infect 這個密碼來傳送檔案，不過從上周起顯然再也行不通了。

微軟坦承曾收到研究人員來信詢問為何會被刪檔案，不過微軟當時沒有回覆。

Google 僅標示加密 ZIP 需小心

Google 表示，Google Workspace 並不會掃瞄密碼保護的檔案，但一旦信件中挾帶此類檔案，Gmail 會特別標示出來提醒用戶小心。

此類爭議也突顯雲端服務業者在確保用戶安全又要尊重隱私的兩難。Brandt 認為這種掃瞄 ZIP 檔的作法令人感覺受到侵犯。

另一值得注意的地方是，ZIP 檔提供的防護相當有限。Beaumont 指出，Windows 提供的 ZipCrypto 加密法很容易破解，較好的方法是像 7z 等加密程式使用內建 AES-256 的工具來加密檔案。

來源：Ars Technica