Ένα κρίσιμο ελάττωμα στον τρόπο με τον οποίο τα συστήματα προστασίας από ιούς και ανίχνευσης και απόκρισης τελικού σημείου (EDR) επεξεργάζονται αρχεία αρχειοθέτησης.
Παρακολούθηση ως CVE-2026-0866, αυτή η αδυναμία επιτρέπει στους εισβολείς να χρησιμοποιούν σκόπιμα εσφαλμένη μορφή κεφαλίδων ZIP για να κρυφτούν κακόβουλα ωφέλιμα φορτία πέρα από τυπικούς σαρωτές ασφαλείας εντελώς απαρατήρητα.
Τα αρχεία ZIP περιέχουν ενσωματωμένα μεταδεδομένα, όπως λεπτομέρειες έκδοσης, λειτουργικές σημαίες και συγκεκριμένες μεθόδους συμπίεσης, οι οποίες καθοδηγούν το λογισμικό για τον τρόπο ανάγνωσης του αρχείου.
Λανθασμένη μορφή ZIP Bypass Antivirus και EDR
Οι περισσότερες μηχανές προστασίας από ιούς και EDR βασίζονται σε αυτά τα μεταδεδομένα για να καθορίσουν τον τρόπο προεπεξεργασίας και σάρωσης του αρχείου προτού το επιτρέψουν σε ένα σύστημα.
Εάν ένας παράγοντας απειλής αλλάξει σκόπιμα το πεδίο της μεθόδου συμπίεσης στην κεφαλίδα ZIP, ο σαρωτής ασφαλείας δημιουργεί σύγχυση.
Βασιζόμενο σε μεγάλο βαθμό στα παραποιημένα μεταδεδομένα, το λογισμικό προστασίας από ιούς αποτυγχάνει να αποσυμπιέσει σωστά το αρχείο. Παρακάμπτει το αρχείο, με αποτέλεσμα ένα ψευδώς αρνητικό.
Επειδή ο σαρωτής δεν μπορεί να διαβάσει τα περιεχόμενα, το κακόβουλο ωφέλιμο φορτίο που κρύβεται μέσα στο αρχείο ZIP παραμένει εντελώς αόρατο στην αυτοματοποιημένη ανάλυση ασφαλείας.
Η αλλαγή της κεφαλίδας ZIP δεν ξεγελάει απλώς το λογισμικό ασφαλείας. Επίσης, σπάει το αρχείο όταν εξάγεται με τυπικά εργαλεία.
Τα νόμιμα προγράμματα όπως το 7-Zip, το zipfile της Python και τα τυπικά βοηθητικά προγράμματα αποσυμπίεσης του λειτουργικού συστήματος θα διαβάσουν τα παραποιημένα μεταδεδομένα, θα προσπαθήσουν να αποσυμπιέσουν το αρχείο και τελικά θα αποτύχουν.
Αυτά τα εργαλεία θα εμφανίζουν συνήθως ένα σφάλμα “CRC” ή “μη υποστηριζόμενη μέθοδο”, αποτρέποντας την εξαγωγή ή την έκθεση των υποκείμενων δεδομένων.
Για να παρακάμψουν αυτό το εμπόδιο και να εκτελέσουν το κακόβουλο λογισμικό, οι εισβολείς αναπτύσσουν έναν προσαρμοσμένο φορτωτή. Αυτός ο εξειδικευμένος φορτωτής είναι προγραμματισμένος να αγνοεί εντελώς την κατασκευασμένη μέθοδο συμπίεσης.
Αντίθετα, παρακάμπτει τα κατεστραμμένα μεταδεδομένα και αποκτά απευθείας πρόσβαση στα ενσωματωμένα κακόβουλα δεδομένα.
Αυτή η διαδικασία διπλού βήματος διασφαλίζει ότι το ωφέλιμο φορτίο παραμένει αόρατο στα προϊόντα ασφαλείας κατά την αρχική σάρωση, ενώ εξακολουθεί να εκτελείται με επιτυχία μόλις ενεργοποιηθεί ο προσαρμοσμένος φορτωτής στο μηχάνημα-στόχο.
Ανακαλύφθηκε από τον ερευνητή ασφαλείας Christopher Aziz, αυτή η τακτική φοροδιαφυγής υπογραμμίζει ένα επικίνδυνο τυφλό σημείο στη σύγχρονη σάρωση αρχείων.
Η ευπάθεια έχει κοινά χαρακτηριστικά με ένα πολύ παλαιότερο ελάττωμα από το 2004 (CVE-2004-0935), αποδεικνύοντας ότι η χειραγώγηση μεταδεδομένων αρχείων παραμένει ένας εξαιρετικά αποτελεσματικός φορέας επίθεσης σήμερα.
Η Cisco έχει επιβεβαιωθεί ότι επηρεάζεται, ενώ σχεδόν 30 άλλοι προμηθευτές ασφάλειας, συμπεριλαμβανομένων των Bitdefender, Avast και AhnLab, έχουν άγνωστη κατάσταση ευπάθειας.
Για την καταπολέμηση αυτής της τεχνικής φοροδιαφυγής, η κοινότητα της κυβερνοασφάλειας και οι προμηθευτές λογισμικού πρέπει να προσαρμόσουν τις μεθοδολογίες σάρωσης.
Σύμφωνα με το Κέντρο Συντονισμού CERT, αναλυτικά στη σημείωση ευπάθειας VU#976247οι οργανισμοί θα πρέπει να λάβουν υπόψη τα ακόλουθα προστατευτικά μέτρα:
Οι προμηθευτές ασφαλείας πρέπει να σταματήσουν να βασίζονται αποκλειστικά σε δηλωμένα μεταδεδομένα αρχειοθέτησης για τον καθορισμό των διαδικασιών χειρισμού περιεχομένου.
Οι σαρωτές EDR θα πρέπει να εφαρμόζουν τρόπους επιθετικής ανίχνευσης που επικυρώνουν τα πραγματικά χαρακτηριστικά περιεχομένου αρχείου σε σχέση με τη δηλωμένη μέθοδο συμπίεσης.
Τα συστήματα προστασίας από ιούς θα πρέπει να διαμορφωθούν ώστε να επισημαίνουν και να θέσουν σε καραντίνα αρχεία με ασυνεπείς ή κατεστραμμένες κεφαλίδες για βαθύτερο χειροκίνητο ή αυτοματοποιημένο έλεγχο.
Οι οργανισμοί θα πρέπει να επικοινωνήσουν αμέσως με τους παρόχους EDR και προστασίας από ιούς για να επαληθεύσουν εάν οι τρέχουσες λύσεις τους είναι ευάλωτες στο CVE-2026-0866.
Οι ομάδες κυνηγιού απειλών θα πρέπει να παρακολουθούν για την παρουσία προσαρμοσμένων φορτωτών, καθώς αυτοί απαιτούνται για την εξαγωγή ωφέλιμων φορτίων που δεν μπορούν να ανοίξουν τα τυπικά εργαλεία.
