Najprostszy exploit roku zaskakuje ekspertów. Zombie ZIP omija prawie każdego antywirusa

Świat cyberbezpieczeństwa przyzwyczaił się do skomplikowanych metod ataku wykorzystujących wieloetapowe exploity, złożone narzędzia i zaawansowane techniki maskowania, jednak najnowsza luka odkryta przez badaczy pokazuje, że czasami wystarczy niezwykle prosta sztuczka, aby ominąć niemal cały ekosystem zabezpieczeń.

Nowa technika nazwana Zombie ZIP wykorzystuje specyfikę struktury archiwów ZIP. W obecnej formie pozwala ominąć zdecydowaną większość popularnych systemów antywirusowych. Według wstępnych analiz luka pozostawała niewykrywana przez zdecydowaną większość silników bezpieczeństwa jeszcze kilka dni po jej publicznym ujawnieniu.

Błąd w interpretacji archiwów ZIP

Mechanizm działania Zombie ZIP opiera się na manipulacji nagłówkiem pliku archiwum. W standardowym pliku ZIP pierwsza część struktury zawiera informacje o zawartości oraz sposobie kompresji danych.

W opisanym scenariuszu nagłówek podaje fałszywe informacje o charakterze danych zapisanych w archiwum. Plik deklaruje brak kompresji, podczas gdy w rzeczywistości przechowuje dane skompresowane. Oprogramowanie antywirusowe interpretuje zawartość jako zwykły zestaw losowych bajtów. Silniki skanujące pliki nie rozpoznają wzorców znanych złośliwych programów. W rezultacie archiwum przechodzi przez systemy ochrony bez żadnego ostrzeżenia.

Badacze podkreślają prostotę koncepcji. Zmiana sposobu deklarowania kompresji w nagłówku wystarcza do ukrycia złośliwego kodu przed wieloma systemami analizy.

Zanim producenci oprogramowania zabezpieczającego przygotują aktualizacje swoich silników analitycznych, metoda Zombie ZIP może pozostać skutecznym narzędziem w arsenale cyberprzestępców.

Skuteczność zaskakująca dla branży

Testy przeprowadzone po ujawnieniu techniki pokazały skalę problemu. Spośród 63 popularnych silników antywirusowych aż 60 nie wykryło zagrożenia. Taki wynik przekłada się na skuteczność obejścia zabezpieczeń przekraczającą 95 procent. Dla branży bezpieczeństwa oznacza to jedną z najbardziej efektywnych metod maskowania złośliwego oprogramowania w ostatnich latach.

Specjaliści zwracają uwagę, że problem wynika z przyjętych założeń dotyczących analizy archiwów. W wielu przypadkach systemy bezpieczeństwa zakładają poprawność struktury nagłówka ZIP.

Uszkodzone archiwum jako nośnik malware

Plik wykorzystujący technikę Zombie ZIP pozostaje formalnie uszkodzony. Standardowe narzędzia do rozpakowywania archiwów nie potrafią odczytać jego zawartości.

Popularne programy takie jak 7-Zip czy WinRAR nie rozpakowują takiego archiwum w tradycyjny sposób. Zawartość można jednak odzyskać przy pomocy niewielkiego programu przygotowanego specjalnie do tego celu.

Badacz odpowiedzialny za odkrycie opublikował demonstracyjny kod w języku Python. Program liczy zaledwie kilkanaście linii i potrafi odczytać ukryty w archiwum plik wykonywalny. Połączenie takiego archiwum z niewielkim narzędziem ekstrakcji tworzy prosty mechanizm dostarczania złośliwego oprogramowania.

Problem trudny do wyeliminowania

Eksperci wskazują, że szybkie zablokowanie tej techniki nie będzie łatwe. Jednym z potencjalnych rozwiązań mogłoby być blokowanie skryptów ładujących dane z archiwów ZIP. Takie podejście rodzi jednak poważne konsekwencje dla oprogramowania działającego w systemach użytkowników. Wczytywanie skompresowanych danych stanowi element wielu programów i gier komputerowych.

Zbyt agresywne filtrowanie prowadziłoby do ogromnej liczby fałszywych alarmów. Administratorzy systemów bezpieczeństwa starają się unikać takich sytuacji, ponieważ nadmiar ostrzeżeń osłabia skuteczność ochrony.

Ostrzeżenie dla administratorów systemów

Sprawą zajęły się już organizacje monitorujące zagrożenia w sieci. Zespół reagowania na incydenty komputerowe opublikował ostrzeżenie oznaczone numerem VU#976247. Luka otrzymała również identyfikator CVE-2026-0866 w międzynarodowej bazie podatności.

Specjaliści zalecają administratorom zwiększoną ostrożność podczas obsługi plików ZIP przesyłanych w sieciach firmowych. Szczególne ryzyko dotyczy organizacji przechowujących duże ilości wrażliwych danych.