{"id":281282,"date":"2023-05-16T16:58:15","date_gmt":"2023-05-16T14:58:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=281282"},"modified":"2023-05-17T00:21:44","modified_gmt":"2023-05-16T22:21:44","slug":"microsoft-sharepoint-scannt-password-geschtzte-zip-archive","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/05\/16\/microsoft-sharepoint-scannt-password-geschtzte-zip-archive\/","title":{"rendered":"Microsoft SharePoint scannt Password-geschützte ZIP-Archive"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Es sieht so aus, dass Microsoft in seinen Cloud-Speichern auch ZIP-Archive auf sch\u00e4dliche Inhalte (und ggf. weitere Inhalte) scannt – auch Archive, die vom Benutzer mit einem Kennwort vor der Einsichtnahme gesch\u00fctzt sind. Zumindest legt eine Meldung des Sicherheitsexperten Andrew Brandt, Principal Security Researcher bei Sophos, auf Mastodon diesen Schluss nahe.<\/p>\n

<\/p>\n

\"\"Das US-Cloud-Anbieter die auf ihren Online-Instanzen gespeicherten Inhalte scannen, ist ja bekannt – ich hatte diverse Male im Blog dar\u00fcber berichtet (siehe Links am Artikelende). Auch Microsoft ist da keine Ausnahme, der Inhalt von Cloud-Instanzen wie OneDrive wird auf sch\u00e4dliche Dateien oder \"verbotene Inhalte\" gescannt. Das kann dann durchaus zu sehr unsch\u00f6nen Situationen f\u00fchren, wie ich in den Beitr\u00e4gen Microsoft, der Auto-Scan und die gesperrten Microsoft-Konten (2022)<\/a> und Microsoft, OneDrive, Inhaltsscans und 'Porno-Petze'<\/a> aufgezeigt habe.<\/p>\n

Bisher war die Argumentation in Leserkommentaren entweder \"ich packe alles in ZIP-Archive und setze ein Passwort, bevor ich das alles auf OneDrive hochlade\" – oder \"das gilt nur f\u00fcr private Cloud-Speicher, nicht f\u00fcr Firmen\". Der eine oder andere Beobachter ist sicher davon ausgegangen, dass Cloud-Anbieter wie Microsoft auch den Inhalt von Dateien auf Business-Cloud-Instanzen auf Malware scannen. Gilt nat\u00fcrlich nicht nur f\u00fcr OneDrive, sondern auch f\u00fcr Google Drive oder \u00e4hnliche Cloud-Speicher.<\/p>\n

SharePoint: Pr\u00fcfung von ZIP-Archiven mit Passwort-Schutz<\/h2>\n

Nun gibt es aber einen Fingerzeig, dass Microsoft die M\u00f6glichkeit hat, Dateien, die in ZIP-Archiven mit Passwort-Schutz auf SharePoint (und OneDrive sowie Teams) gespeichert sind, zu pr\u00fcfen. Bekannt wurde dies durch Andrew Brandt, Principal Security Researcher bei Sophos, der vor einigen Stunden seine nachfolgende Beobachtung auf Mastodon teilte<\/a> (den Kollegen von neowin.net ist das aufgefallen<\/a>).<\/p>\n

\"SharePoint<\/p>\n

Zum Sachverhalt schreibt Brand, dass Microsoft wohl die M\u00f6glichkeit habe, auf SharePoint gespeicherte Dateien in ZIP-Archiven zu scannen, selbst wenn diese per Kennwort durch den Benutzer gesch\u00fctzt seien.<\/p>\n

Well, apparently #microsoft #Sharepoint now has the ability to scan inside of password-protected zip archives.<\/p>\n

How do I know? Because I have a lot of Zips (encrypted with a password) that contain malware, and my typical method of sharing those is to upload those passworded Zips into a Sharepoint directory.<\/p>\n

This morning, I discovered that a couple of password-protected Zips are flagged as \"Malware detected\" which limits what I can do with those files – they are basically dead space now.<\/p>\n

While I totally understand doing this for anyone other than a malware analyst, this kind of nosy, get-inside-your-business way of handling this is going to become a big problem for people like me who need to send their colleagues malware samples. The available space to do this just keeps shrinking and it will impact the ability of malware researchers to do their jobs.<\/p><\/blockquote>\n

Ihm wurde dies bewusst, weil er morgens pl\u00f6tzlich auf seinem SharePoint-Laufwerk eine Reihe Passwort-gesch\u00fctzter ZIP-Archive vorfand, die mit einem Flag \"Malware detected\" markiert waren. Der Sicherheitsforscher schreibt, dass es f\u00fcr Malware-Analysten ein Problem sei, da es kaum noch m\u00f6glich sei, Kollegen Malware-Beispiele zu \u00fcbermitteln (die M\u00f6glichkeiten schrumpfen immer weiter).<\/p>\n

Das schreibt Microsoft<\/h3>\n

Microsoft hat in seinen Supportseiten erkl\u00e4rt, was passiert, wenn infizierte Dateien auf SharePoint hochgeladen werden. Im Supportdokument What happens if an infected file is uploaded to SharePoint Online?<\/a> hei\u00dft es dazu.<\/p>\n

The Microsoft 365 virus detection engine scans files asynchronously (at some time after upload). If a file has not yet been scanned by the asynchronous virus detection process, and a user tries to download the file from the browser or from Teams, a scan on download is triggered by SharePoint before the download is allowed. All file types are not automatically scanned<\/strong>. Heuristics determine the files to scan. When a file is found to contain a virus, the file is flagged.<\/p><\/blockquote>\n

Die Dateien werden also mit heuristischen Methoden zum Scannen ausgew\u00e4hlt, nachdem ein Benutzer diese auf SharePoint hochgeladen hat. Wird ein Treffer gefunden, kennzeichnet das in Microsoft 365 verwendete Virenerkennungsmodul diese als \"Malware detected\". Dieser Schutz ist in allen Abonnements enthalten, die SharePoint Online, OneDrive und Microsoft Teams umfassen.<\/p>\n

Benutzer haben aber standardm\u00e4\u00dfig die M\u00f6glichkeit, als infiziert gekennzeichnete Dateien von SharePoint Online herunter zu laden. Administratoren k\u00f6nnen aber das Download-Verhalten von SharePoint so \u00e4ndern, dass der Download solcher Dateien verboten wird, wie Microsoft hier erkl\u00e4rt<\/a>.<\/p>\n

Safe Attachments f\u00fcr SharePoint, OneDrive und Microsoft Teams<\/h3>\n

Es gibt zudem den Microsoft Support-Beitrag How Safe Attachments for SharePoint, OneDrive, and Microsoft Teams works<\/a>, der erkl\u00e4rt, was passiert, wenn Safe Attachments <\/em>f\u00fcr SharePoint, OneDrive und Microsoft Teams aktiviert ist.<\/p>\n

\"SharePoint:
\nDatei als Malware markiert, Quelle: Microsoft<\/p>\n

Eine als b\u00f6sartig identifizierte Datei wird durch direkte Integration mit den Dateispeichern gesperrt. Das obige Bild zeigt ein Beispiel f\u00fcr eine b\u00f6sartige Datei, die in einer Bibliothek erkannt wurde. Die so gesperrte Datei taucht weiterhin in der Dokumentenbibliothek und in Web-, Mobil- oder Desktop-Anwendungen auf. Aber die Datei kann sie nicht ge\u00f6ffnet, kopiert, verschoben oder freigegeben werden. Nutzer k\u00f6nnen die gesperrte Datei aber noch l\u00f6schen. Ob diese Option beim Malware-Analysten Brand gesetzt ist, geht aus obigem Post nicht hervor.<\/p>\n

Passwort-gesch\u00fctzte ZIP-Archive scannen<\/h3>\n

Ich denke, Leser werden sich nun brennend daf\u00fcr interessieren, wie es m\u00f6glich ist, Passwort-gesch\u00fctzte ZIP-Archive zu scannen. Gibt es eine Hintert\u00fcr, \u00fcber die Microsoft an diese Dateien im ZIP-Archiv heran kommt? Zur Frage, wie Microsoft den Inhalt von passwortgesch\u00fctzten ZIP-Archiven scannen kann, hat sich Sicherheitsforscher Kevin Beaumont auf Mastodon ge\u00e4u\u00dfert.<\/p>\n

\"Scan<\/p>\n

So, wie ich den Post verstehe, benutzt Microsoft Passwort-Listen, die einfach bei den ZIP-Archiven durchprobiert werden. Dort ist das \u00fcbliche Passwort 'infected', welches die Sicherheitsforscher zum Austausch der Archive verwenden, enthalten. Zudem w\u00fcrden auch Kennw\u00f6rter aus E-Mails extrahiert werden – was den Zugriff auf die ZIP-Archive des Sicherheitsforschers erkl\u00e4rt (der teilt die Archive mit Kollegen und schickt die Passw\u00f6rter per Mail).<\/p>\n

Entm\u00fcndigung durch die Cloud<\/h2>\n

Das Problem besteht bereits seit L\u00e4ngerem – ich hatte im englischen Blog einen Hinweis eines US-Nutzers im Beitrag Microsoft account lockout, an exemplary case<\/a> aufgegriffen. Dieser arbeitet als Malware-Analyst f\u00fcr ein Unternehmen und bewahrte einige Malware-Samples und Open-Source-Tools f\u00fcr Pen-Tests auf (einige sind typischerweise Teil der Kali Linux-Distribution) f\u00fcr sein Cyber-Training auf OneDrive auf. Das Material war nicht passwortgesch\u00fctzt, und so wurde ihm sein privates OneDrive-Konto endg\u00fcltig gesperrt. Der Mann verlor den Zugriff auf seine gesamte mit dem Microsoft-Konto verbundene Online-Existenz.<\/p>\n

Diskussion hier im Blog<\/h3>\n

Hier im Blog gibt es in den Kommentaren hier<\/a> auch eine Diskussion zum Thema. Ein Nutzer weist darauf hin, dass es zu Problemen kommen kann, wenn Unternehmen Dateien in der Cloud archivieren, diese dann aber als Malware gekennzeichnet werden. Das wird insbesondere bei Dateien \u00c4rger geben, wenn diese Aufbewahrungspflichten unterliegen, aber pl\u00f6tzlich nicht mehr zugreifbar sind. Es ist ein komplexes und schwieriges Thema – denn einerseits versuchen Cloud-Anbieter alles zu tun, um infiziertes Material zu finden und zu eliminieren. Aber die F\u00e4lle zeigen, dass der Teufel im Details liegt – und false positives (Fehlalarme) sind da noch nicht aufgef\u00fchrt. Hier laufen die Leute quasi in eine Cloud-Falle, die uns zuk\u00fcnftig noch einige Male aufsto\u00dfen d\u00fcrfte.<\/p>\n

Das Degoo-Beispiel<\/h3>\n

Das Thema ist \u00fcbrigens nicht alleine auf Microsoft beschr\u00e4nkt. Auch Google, Apple etc. machen diese Scans. Es gibt im englischen und deutschen Blog den Beitrag When the degoo bot closes your lifelong account \u2026<\/a>. Degoo<\/a> ist ein Cloud-Dienst, der mit 'Life's best memories \u2013 AI based cloud storage that helps you rediscover your best photos.' wirbt. In meinen Beitr\u00e4gen werden F\u00e4lle beschrieben, wo Nutzer sich ein lebenslanges Recht gekauft hatten, einen Online-Speicher bei Degoo zu nutzen. Inzwischen h\u00e4ufen sich die F\u00e4lle, wo ein Degoo-Bot die Konten wegen Copyright-Verletzungen einfach schlie\u00dft.<\/p>\n

\"Degoo<\/p>\n

Die beiden Blog-Beitr\u00e4ge fungieren inzwischen ganz gut als Honeypots, zum englischen Blog-Beitrag gibt es inwischen 41 R\u00fcckmeldungen. Zum deutschen Beitrag<\/a> gibt es 10 Nutzerr\u00fcckmeldungen. Der obige Beitrag wurde \u00fcbrigens 2020 von Blog-Leser Markus initiiert, der mich per Mail auf die Sperre seines Kontos bei deego hinwies. Die Woche erreichten mich zwei weitere Mails von Blog-Leser Markus, der versuchte, mit deego zu verhandeln. Nachfolgendes Bild zeigt die Benachrichtigung wegen \"Copyright-Versto\u00dfes\" samt Sperre des Kontos.<\/p>\n

\"Degoo<\/p>\n

Man erkennt, dass er eine ISO-Installationsdatei von Windows 10 sowie diverse andere Setup-Dateien auf den Degoo-Cloud-Speicher hochgeladen hatte. Diese wurden als Copyright-Verletzung gebrandmarkt, obwohl dies eher nicht der Fall zu sein scheint. Markus hat dann versucht, den Fall, wie vorgeschlagen, anzufechten. Dazu schrieb er an Degoo:<\/p>\n

Hello,<\/p>\n

the files mentioned are downloadable as setup files or the Windows ISO as download by the Microsoft MediaCreation tool which does not violate anything.<\/p>\n

The other .jrs or .jtx seem to be located in a userprofile. I'm not aware that those files are violating copyrights.<\/p>\n

If you can name me the backup and location I'll be happy to take a look at the issue at hand which seems to me to be some kind of false positive detection (at least that is my impression).<\/p>\n

It is pretty harsh to threaten termination without any prior warning and the lack of information which backup is a possible problem nor the file-path to take action or the at least be able to verify if it could be a real violation.<\/p>\n

I hope a human being takes a look at that and sees the reason in my arguments.<\/p>\n

Markus K.<\/p><\/blockquote>\n

Markus geht von einem falschen Alarm aus und bittet darum, dass jemand mit Sinn und Verstand den Fall anschaut. Die finale Antwort von Degoo ist mir gerade von Markus zugegangen:<\/p>\n

\"Degoo<\/p>\n

Der Fall wird also abgewiesen und das Konto wegen \"Versto\u00dfes gegen die Gesch\u00e4ftsbedingungen\" geschlossen. Markus meint dazu: \"Diese kooperative Art ist auf jedenfalls besonders hervorzuheben.<\/em>\" und vermutet, dass da ein Bot einmal im Jahr die 10TB lifetime members los werden m\u00f6chte. Er hatte 100 Euro f\u00fcr eine Lifetime Membership bezahlt. Das Ganze kann ich nur folgenderma\u00dfen abschlie\u00dfen: Happy Cloud-Live, willst Du Abenteuer, probiere es einfach aus. <\/em><\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft, der Auto-Scan und die gesperrten Microsoft-Konten (2022)<\/a>
\nMicrosoft, OneDrive, Inhaltsscans und 'Porno-Petze'<\/a>
\nAuch Microsoft macht den Porno-Scan<\/a>
\nApple scannt iCloud-Mail seit 2019 auf Kinderpornografie<\/a>
\nGoogle-Kontensperre und Polizeieinsatz wegen Baby-Foto f\u00fcr den Arzt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es sieht so aus, dass Microsoft in seinen Cloud-Speichern auch ZIP-Archive auf sch\u00e4dliche Inhalte (und ggf. weitere Inhalte) scannt – auch Archive, die vom Benutzer mit einem Kennwort vor der Einsichtnahme gesch\u00fctzt sind. Zumindest legt eine Meldung des Sicherheitsexperten Andrew … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-281282","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/281282","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=281282"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/281282\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=281282"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=281282"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=281282"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}