L’en-tête ZIP manipulé permet d’obtenir des informations de sécurité et un code Schad pour un accès facile.
Une nouvelle technologie avec le nom «Zombie ZIP» est dans le Lage, Payloads dans les dates fournies. Les solutions de sécurité telles que les produits antivirus et EDR (Endpoint Detection and Response) ne sont pas disponibles, mais les appareils numériques sont également conçus de manière spécifique pour la sécurité. Il s’est adressé à Chris Aziz, un chercheur en sécurité auprès de la société de conseil en sécurité Bombadil Systems.
Logiciel de saisie d’en-tête
Das Ganze läuft wie folgt ab, so Aziz : Werden die Dateien mit Standardprogrammen wie WinRAR ou 7-Zip extrahiert, kommt zu Fehlermeldungen ouder korrumpierten Daten. La raison en est que l’en-tête ZIP est manipulé de manière à ce que le programme soit utilisé. Sie sorgen dafür, dass komprimierte Daten als noncomprimiert behandeln werden.
Anstatt the Archiv als potenziell gefährlich zu kennzeichnen, vertrauen Sicherheits-Tools the Header and scannen the Datei, ainsi qu’une copie des originaux dans un conteneur ZIP. Konkret sollen sich laut Aziz 50 der 51 Antivirenprogramme, exécutant également le Microsoft Defender, ausgetricken lassen.
Le plus souvent, il est indiqué comme suit : « Programme antiviral indique le champ « Méthode » de la date ZIP. Liegt « Method=0 » (STORED) vor, scannen sie die Daten as unkomprimierte Rohdaten. Tatsächlich sind die Daten aber DEFLATE-komprimiert – the Scanner iseht also komprimiertes Rauschen and findet keine Signaturen“.
Dem Experten zufolge könne un Angreifer auf this Weise einen Loader créé, l’en-tête ignoré et les archives de la gestion, étaient les suivants: Daten, die mit eux in modernen ZIP-Dateien üblichen DEFLATE-Algorithmus komprimiert wurden.
Ergebnisse Falsch-négatif
Aziz a une preuve de concept (PoC) sur GitHub vérifiée et ses archives d’images montrent plus de détails sur les fonctions de la méthode proposée. Un programme d’installation de paquets de données doit être configuré pour provoquer le fonctionnement du CRC, la sécurité de l’intégration des données et la somme des charges utiles non compressées, ainsi que la sécurité.
« Un chargeur spécial entwickelter, la méthode angegebene ignorée et comme DEFLATE décomprimé, stellt die Nutzdaten jedoch einwandfrei wieder her », donc Aziz.
Pour que les meilleurs systèmes soient disponibles, le scanner est utilisé, de sorte que les contrôles de sécurité soient activés, comme si « aucun logiciel malveillant n’est présent ». In Wirklichkeit sei sie aber vorhanden und könne mit Hilfe von Angreifer-Tooling trivial wiederhergestellt werden.
En cas de réaction au niveau supérieur, le centre de coordination du CERT (CERT/CC) est averti d’un avertissement concernant les « Zombie-ZIP ».
Le rapport de sécurité officiel est CVE-2026-0866 et s’applique aux dernières années de l’année en utilisant la méthode Schwachstelle CVE-2004-0935. Hierbei handelte est sich um a Schwachstelle, die a frühe Version of ESET-Antivirenprogramms traf.
Conseils pour la sécurité
Les experts du CERT/CC se chargent de la gestion des outils de sécurité
- die Felder für die Komprimierungsmethode anhand der tatsächlichen Daten validieren,
- Mécanismes pour la création d’encres dans la structure d’archivage et
- strengere Archivprüfungsmodi Implementieren.
Benutzer sollten Archivdateien mit Vorsicht behandeln, insbesondere wenn sie von unbekannten Absendern stammen. Erscheint beim Entpacken die Fehlermeldung « méthode non prise en charge », sollten die Dateien umgehend gelöscht werden.
