Microsoft acaba de dar un paso vital para proteger mejor sus dispositivos contra el malware, y es uno que podría detener los virus en seco. Curiosamente, sin embargo, el gigante de Redmond parece no haber hecho mención del cambio, a pesar de su importancia.
La nueva política puede sonar menor en la superficie: el servicio de almacenamiento en la nube SharePoint de Microsoft aparentemente ahora puede escanear archivos que están encriptados o protegidos con contraseña. Anteriormente, esto no se pensaba que fuera posible.
La importancia de este movimiento radica en las tácticas nefastas de los hackers y los escritores de malware. El hecho de que las aplicaciones antivirus hayan tenido problemas para leer archivos protegidos con contraseña durante tanto tiempo las ha convertido en un método de ataque atractivo. Ahora que SharePoint puede penetrar en sus oscuras profundidades, debería tener una idea mucho mejor de si se puede confiar en el archivo que cargó.
El cambio fue notado por Andrew Brandt, investigador principal de la firma de ciberseguridad Sophos. Brandt se topó con la nueva política después de que afectara a su propio directorio de SharePoint, que contenía un archivo de cepas de malware almacenadas en archivos zip protegidos con contraseña.
Desafortunadamente para Brandt, la actualización no fue del todo bienvenida. Como explicaron en su página de Mastodon, «un par de Zips protegidos con contraseña están marcados como» Malware detectado «lo que limita lo que puedo hacer con esos archivos, básicamente son espacio muerto ahora».
«Si bien entiendo totalmente hacer esto para cualquier persona que no sea un analista de malware», continuó Brandt, «este tipo de forma entrometida y de entrar en su negocio de manejar esto se convertirá en un gran problema para personas como yo que necesitan enviar muestras de malware a sus colegas».
Si bien ese es sin duda un desarrollo frustrante para los investigadores de malware que usan SharePoint de esta manera, seguramente es algo bueno para los usuarios cotidianos que pueden cargar archivos infectados sin conocer el contenido de los archivos cifrados.
Un cambio silencioso
Brandt arroja algo de luz sobre lo que SharePoint hará con los archivos protegidos por contraseña que considere maliciosos, aunque no está claro de inmediato en su mensaje cómo las acciones de los usuarios están limitadas por Microsoft.
Sin embargo, una página de soporte técnico de Microsoft explica que su característica Datos adjuntos seguros examinará archivos en SharePoint, OneDrive y Teams. Los archivos que se determina que son malware están «bloqueados», lo que significa que «las personas no pueden abrirlos, copiarlos, moverlos o compartirlos». Sin embargo, aún puede ver y eliminar los archivos.
Sin embargo, la página de soporte no menciona archivos cifrados o protegidos con contraseña, y Microsoft no ha hecho ningún anuncio del cambio de política en su blog de seguridad. Eso es un poco sorprendente dado lo importante que podría ser la nueva postura.
Aún así, es bueno ver a Microsoft tomar medidas sobre los archivos protegidos con contraseña que durante mucho tiempo han eludido una inspección minuciosa debido a su naturaleza bloqueada. Aunque puede ser un inconveniente para los investigadores de seguridad, sin duda es una bendición para los usuarios cotidianos. Con suerte, Microsoft puede encontrar rápidamente una solución que no impida el trabajo de los investigadores.