セキュリティ研究者は、攻撃者が特別に細工されたZIPアーカイブ内に悪意あるファイルを隠すことができる新しい脆弱性を公開しました。これはアンチウイルスとエンドポイント検知・対応(EDR)セキュリティツールを潜在的に回避できるものです。
CVE-2026-0866として追跡され、CERT調整センターの脆弱性ノートVU#976247で文書化されたこの問題は、操作されたアーカイブメタデータがセキュリティスキャナーが圧縮ファイルを適切に分析することを防止する方法を浮き彫りにしています。
ZIPアーカイブには、ソフトウェアに圧縮ファイルの解凍方法と処理方法を指示するメタデータが含まれています。
このメタデータには、圧縮方法、バージョン情報、ファイルフラグなどのフィールドが含まれています。アンチウイルスとEDRシステムは通常、これらの値に依存してアーカイブの内容を抽出およびスキャンする方法を決定します。
研究者は、攻撃者がZIPファイルのヘッダー内の圧縮方法フィールドを改ざんできることを発見しました。このフィールドが不正に修正されると、セキュリティソフトウェアはアーカイブを適切に解凍できない場合があります。
その結果、スキャンエンジンは埋め込まれたペイロードにアクセスできず、ファイルを安全であるか単に破損していると誤って分類する可能性があります。
形式が正しくないヘッダーにもかかわらず、悪意あるコンテンツは不正なメタデータを無視するように設計されたカスタムツールを使用してプログラム的に抽出できます。
これにより、攻撃者は自動セキュリティ検査を回避しながらアーカイブ内にマルウェアを隠すことができます。
典型的な攻撃シナリオでは、脅威アクターは悪意あるコードを含むZIPアーカイブを作成し、意図的にアーカイブのメタデータフィールドを修正します。
セキュリティツールはヘッダーを読み込んでアーカイブを解凍する方法を決定しようとします。圧縮方法フィールドが操作されているため、スキャナーはコンテンツの抽出に失敗し、隠されたペイロードを分析できません。
しかし、攻撃者は後で宣言された圧縮方法をバイパスして生データを直接解凍するカスタムローダーを使用して、埋め込まれたデータを復元できます。抽出されると、隠されたペイロードはターゲットシステムで実行できます。
興味深いことに、一般的なアーカイブ抽出ユーティリティは以下のようなものです:
は一般的にZIPヘッダー内の宣言された圧縮方法を信頼しています。ヘッダーに操作された値が含まれている場合、これらのツールは解凍を試みますが、最終的に「サポートされていない圧縮方法」またはCRC検証エラーなどのエラーで失敗します。
その結果、ペイロードはセキュリティスキャナーと標準抽出ツールの両方から隠されたままになります。
CERT/CCはCiscoが現在影響を受けると記載されていると報告しており、Avast、Bitdefender、Avira、Baidu、AVGなど、他の複数のベンダーのステータスは不明なままです。
セキュリティ専門家は、アンチウイルスとEDRベンダーが圧縮ファイルをスキャンする際に、宣言されたアーカイブメタデータだけに依存することを避けることをお勧めしています。
代わりに、検知エンジンは圧縮方法フィールドがアーカイブ内の実際のデータ構造と一致するかどうかを検証する必要があります。
組織とユーザーは、以下のセキュリティ慣行に従うことでリスクを軽減できます:
この脆弱性はセキュリティ研究者クリストファー・アジズによって報告されました、そして勧告はCERT調整センターのローリー・タイゼンハウスによって作成されました。
攻撃者がクリエイティブな回避技術を開発し続けるにつれて、この発見は最新のセキュリティツール内でより堅牢なアーカイブ検査方法の必要性を浮き彫りにしています。
翻訳元: https://cyberpress.org/malformed-zip-files/