Уязвимость Zombie ZIP позволяет вредоносному ПО беспрепятственно обходить ворота 95% антивирусных пакетов, используя обман в заголовке ZIP-архива. — tomshardware.com
Продолжающаяся гонка вооружений в сфере кибербезопасности и контрмер стала невероятно продвинутой и сложной. Чаще всего для обнаружения программных или аппаратных уязвимостей требуется компетентное создание тщательно продуманных приспособлений. Однако даже в 2026 году вы время от времени обнаружите простую уязвимость, такую как недавноопубликованный Zombie ZIP, который позволяет вредоносным полезным нагрузкам обходить практически все распространенные антивирусные решения. Концепция предельно проста. Первая часть ZIP-файла называется заголовком, и она содержит информацию о содержимом и способе его сжатия. Если вы создадите ZIP-файл, который лжет, заявляя, что содержимое не сжато, но на самом деле содержит сжатые данные, большинство антивирусных решений даже не моргнут глазом. Для этого программного обеспечения «несжатые» данные выглядят просто как случайные байты и, следовательно, не соответствуют известным сигнатурам вредоносного ПО. Как в сериале Westworld, «я ничего не вижу». На момент написания этой статьи, через шесть дней после обнародования уязвимости, 60 из 63 распространенных антивирусных пакетов не обнаруживают этой притчевой ловкости рук — показатель успеха составляет чуть более 95%. Архивный файл не сможет быть извлечен с помощью обычных инструментов, таких как 7-Zip или WinRAR, поскольку он технически поврежден. Однако его легко объединить с крошечной, казалось бы, безобидной программой, которая понимает небольшое несоответствие и извлекает фактическое вредоносное ПО. Исследователь, обнаруживший уязвимость, опубликовалдоказательство концепции на Python, которое требует всего около дюжины строк кода. Это достаточно тревожно для обычного пользователя, но может стать кошмарным сценарием для корпораций с тысячами пользователей и конфиденциальными данными, которые необходимо защищать. Если вам интересно, почему антивирусные решения не нацеливаются просто на загрузочные скрипты, то это потому, что количество ложных срабатываний почти наверняка будет огромным, поскольку загрузка сжатых данных является очень распространенной операцией в большинстве программного обеспечения, включая, но не ограничиваясь играми. CERT уже занимается этим вопросом и опубликовалрекомендацию VU#976247. Аналогично,CVE-2026-0866 уже присвоен. Пока пакеты безопасности не догонят, системным администраторам следует быть особенно осторожными с ZIP-файлами, перемещающимися по их сетям.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira