Wer glaubt, die Inhalte seiner ZIP-Dateien seien durch ihren Passwortschutz sicher, der irrt. Selbst Microsoft schaut da mittlerweile rein.
Wie ein Sicherheitsforscher kürzlich feststellte, können Cloud-Dienste von Microsoft inzwischen den Passwortschutz von ZIP-Dateien aushebeln, um in Archivdateien nach Malware zu suchen. Was sich für viele Endanwender sicherlich als Vorteil erweist, geht jedoch massiv auf Kosten der Privatsphäre. Und das natürlich ungefragt.
Microsoft-Dienste können neuerdings ZIP-Passwortschutz aufheben
Um ihre Malware an potenziellen Sicherheitslösungen vorbeizuschmuggeln, liefern Cyberkriminelle ihren böswilligen Code seit jeher in Archivdateien aus. Ein Passwortschutz soll ferner dafür sorgen, dass Virenscanner die mitunter in ZIP-Dateien verpackte Schadsoftware gar nicht erst analysieren, geschweige denn aus dem Verkehr ziehen können.
Doch auch Sicherheitsforscher sind für ihre Arbeit auf diese Möglichkeit des Austauschs von Schadcode angewiesen. Nicht jede über einen Cloud-Dienst gesicherte Malware soll tatsächlich einen Schaden anrichten. Manchmal wollen Forscher einfach nur Proben für ihre Kollegen bereitstellen, um gemeinsam effektive Erkennungs- und Abwehrmechanismen zu entwickeln.
Microsoft scheint diese Kennwort-Barriere jedoch inzwischen aktiv auszuhebeln, um über seine Microsoft-365-Dienste ausgetauschte Schadsoftware selbst in geschützten Archiven aufzuspüren. Dies stellte kürzlich der Sicherheitsforscher Andrew Brandt fest, wie Ars Technica berichtet.
Gerade für Sicherheitsforscher ein echtes Problem
Brand verpackte seine Malware-Proben bisher üblicherweise in ZIP-Archiven und versah diese mit einem Passwortschutz, bevor er sie via SharePoint mit anderen Forschern austauschte. Doch wie er auf Mastodon mitteilt, markiert Microsofts Kollaborationstool diese Dateien neuerdings als “Malware detected”.
Wie Brand erklärt, habe er durchaus Verständnis dafür, dass dies dem Schutz von Endanwendern diene. Für Malware-Analysten wie ihn sei “diese Art der neugierigen, sich in Ihr Geschäft einmischenden Handhabung” jedoch ein großes Problem. Er warnt ausdrücklich davor, dies könne sich negativ “auf die Fähigkeit der Malware-Forscher auswirken, ihre Arbeit zu erledigen”.
Gemäß den Diskussionen unter Brands Beitrag wendet Microsoft offenbar verschiedene Methoden an, um den Passwortschutz der ZIP-Dateien zu umgehen. So scheint der Konzern mögliche Passwörter beispielsweise anhand von E-Mail-Texten oder den jeweiligen Dateinamen der Archive zu ermitteln. Aber auch das bloße Testen gängiger Kennwörter gehöre zu den Strategien des Unternehmens.
Microsoft-Anwendungen umgehen ZIP-Passwortschutz auf Kosten der Privatsphäre
Einerseits ist es durchaus erfreulich, dass sich Microsoft um den Schutz seiner Anwender bemüht. Und wahrscheinlich bewahrt diese Praxis tatsächlich so manch einen Nutzer vor den Folgen böswilliger Angriffe durch Cyberkriminelle. Ob dies einen solchen Eingriff in die Privatsphäre der Endbenutzer rechtfertigt, sei jedoch dahingestellt.
Wünschenswert wäre es gewesen, wenn der Konzern zumindest um eine Erlaubnis gebeten hätte, statt die Anwender mal wieder einfach vor vollendete Tatsachen zu stellen. Viele Nutzer, die sich selbst nicht zu schützen wissen, hätten womöglich sogar ihre Zustimmung erteilt. Hier muss letztendlich jeder für sich zwischen Sicherheit und Privatsphäre abwägen.
Wer sich selber vor Malware zu schützen weiß, ist jedoch vermutlich umso weniger darüber erfreut, dass der Konzern einfach eigenmächtig damit begonnen hat, die Inhalte seiner mit einem Passwortschutz versehenen ZIP-Dateien zu analysieren.