Microsoft kann den Passwortschutz bei ZIP-Archiven umgehen und deren Inhalte sehen beziehungsweise scannen. Das haben Sicherheitsforscher herausgefunden, wie die US-IT-Nachrichtenseite Betanews schreibt.
Sicherheitsexperten und Anti-Malware-Forscher wie Andrew Brandt tauschen Malware untereinander aus, indem sie diese in ZIP-Archive packen und den Zugriff darauf dann per Passwort absichern. Damit verhindern die Sicherheitsexperten zum einen, dass die Malware aktiv wird und Rechner infiziert. Und zum anderen verhindern sie damit, dass die Virenscanner anschlagen. Denn diese können Passwort-geschützte Archive nicht scannen. Zumindest dachte man das bisher.
Brandt entdeckte jetzt aber, dass Microsoft einige Passwort-geschützte ZIP-Archive, die er auf seinem Sharepoint-Speicher hochgeladen hatte, mit “Malware detected” gekennzeichnet hatte. Diese Kennzeichnung “Malware entdeckt” war zutreffend, denn Brandt hatte in den Archiven, wie es eben Praxis unter Sicherheitsexperten ist, Malware abgelegt. Brandt beschreibt seine Entdeckung in diesem Blogbeitrag.
Wenn Microsoft tatsächlich den Passwortschutz umgehen und jedes geschützte ZIP-Archiv einsehen kann, dann hat das zwei Konsequenzen:
Für jeden Anwendern: Microsoft mag in diesem Fall durchaus mit guter Absicht handeln. Trotzdem weckt diese Vorgehensweise Bedenken in Sachen Datenschutz und Privatsphäre. Passwort-geschützte Archive sind eben nicht mehr sicher vor fremden Blicken. Das trifft vor allem solche Benutzer hart, die Backups vertraulicher Daten oder gar Unternehmensdaten auf ihre Onlinespeicher laden. Es gibt keinen Datenschutz mehr auf Microsoft-Speichern, die Redmonder können alles sehen.
Für Sicherheitsforscher: Die Experten verlieren eine bisher zuverlässig funktionierende Möglichkeit, um untereinander neu entdeckte Malware zu Forschungszwecken auszutauschen. Da jetzt die Virenscanner anschlagen und den Austausch der Archive unterbinden.
Wie knackt Microsoft die Passwörter?
Unbekannt ist, wie es Microsoft schafft, den Passwortschutz zu umgehen. Nutzt Microsoft eine Liste bekannter Passwörter und probiert diese einfach durch? Oder extrahiert Microsoft Passwörter aus Mails, die es danach scannt?
Gegenüber dem US-amerikanischen Technikmagazin Arstechnica wollte sich Microsoft zu dem Fall nicht äußern.