Die neu beschriebene Angriffstechnik Zombie ZIP zeigt, wie sich scheinbar harmlose ZIP-Dateien in wirksame Tarnkappen für Malware verwandeln lassen. Durch gezielte Manipulation der ZIP-Header können Angreifer Schadcode so verbergen, dass viele Antivirenlösungen und Endpoint-Detection-and-Response-Systeme (EDR) die Bedrohung nicht erkennen, obwohl die Datei formal korrekt wirkt oder nur als „defekt“ eingestuft wird.
Was hinter der Angriffstechnik Zombie ZIP steckt
ZIP ist einer der weltweit am häufigsten genutzten Archivformate und wird von Betriebssystemen, E-Mail-Diensten und Sicherheitsgateways standardmäßig unterstützt. Kernstück des Formats sind die Header, in denen unter anderem der Kompressionsmodus (Method) und die Prüfsumme (CRC) abgelegt sind. Genau an dieser Stelle setzt Zombie ZIP an: Die Technik nutzt die Diskrepanz zwischen dem, was im Header steht, und dem, was tatsächlich im Datenbereich gespeichert ist.
Manipulierte ZIP-Header: Method und CRC als Einfallstor
In der von Sicherheitsforscher Chris Aziz (Bombadil Systems) veröffentlichten Demonstration wird im Feld Method der Wert 0 (STORED) eingetragen. Dieses Flag bedeutet laut ZIP-Spezifikation, dass die Daten nicht komprimiert vorliegen. Tatsächlich werden sie jedoch mit dem verbreiteten Algorithmus Deflate komprimiert. Viele Sicherheitsprodukte verlassen sich beim Scannen auf diese Headerangabe und interpretieren den Inhalt als unkomprimierten Bytestrom. Anstatt lesbaren Code zu sehen, erhalten sie jedoch komprimierten „Datenmüll“, in dem Signaturen und Heuristiken nicht zuverlässig greifen.
Warum Standard-Archivprogramme scheitern
Versucht ein Nutzer, einen solchen manipulierten „Zombie-Archiv“ mit üblichen Tools wie WinRAR, 7-Zip oder dem Kommandozeilenwerkzeug unzip zu öffnen, kommt es häufig zu Fehlermeldungen oder scheinbar beschädigten Dateien. Ursache ist das CRC-Feld: Die Prüfsumme wird für eine unkomprimierte Variante der Nutzlast berechnet, passt aber nicht zum tatsächlich Deflate-komprimierten Inhalt. Korrekt implementierte Standardprogramme melden daher eine Integritätsverletzung oder brechen den Entpackvorgang ab – aus Sicht eines Anwenders wirkt die Datei schlicht fehlerhaft.
Wie speziell angepasste Loader den Payload entschlüsseln
Angreifer umgehen dieses Verhalten, indem sie eigene Loader schreiben, die ZIP-Dateien nicht nach Spezifikation verarbeiten. Statt das Method-Feld zu beachten, interpretiert der Loader den Datenbereich direkt als Deflate-Strom und dekomprimiert die Nutzlast unabhängig von Header und CRC. So lässt sich der versteckte Payload zuverlässig extrahieren und ausführen, während viele Sicherheitslösungen den Archivinhalt bereits als „geprüft“ verbuchen. Ein auf GitHub veröffentlichtes Proof-of-Concept inklusive Beispielarchiven senkt die Einstiegshürde für Angreifer erheblich.
CVE-2026-0866: Einordnung durch CERT/CC und historische Parallelen
Der Koordinationsstelle CERT/CC zufolge wird Zombie ZIP unter der Kennung CVE-2026-0866 geführt. Fachleute betonen, dass es sich weniger um eine Schwachstelle im ZIP-Standard selbst handelt, sondern um ein Implementierungsproblem in Sicherheitsprodukten, die den Headerangaben zu viel Vertrauen schenken. CERT/CC zieht Parallelen zu älteren Angriffen auf Archivverarbeitung, etwa zu CVE-2004-0935, das vor über 20 Jahren eine ähnliche Schwäche in einer Antivirensoftware aufdeckte. Die aktuelle Technik belegt, dass solche Konformitätsprobleme auch in modernen Umgebungen weiterhin relevant sind.
Konkrete Schutzmaßnahmen für Security-Teams und Anwender
Empfehlungen für Hersteller von Antivirus- und EDR-Lösungen
Für Anbieter von Antivirus-, EDR- und E-Mail-Sicherheitslösungen empfiehlt CERT/CC, die Analyse-Logik für Archive grundlegend zu überarbeiten. Dazu gehören insbesondere drei Punkte: Erstens sollte der deklarierte Kompressionsmodus im Header mit dem tatsächlichen Datenformat abgeglichen werden. Stellt die Engine fest, dass „STORED“ eingetragen ist, der Datenstrom aber wie Deflate aussieht, ist dies ein starkes Indiz für Manipulation. Zweitens sind zusätzliche Struktur- und Integritätsprüfungen von Längenfeldern, CRC-Werten und lokalen sowie zentralen Headern erforderlich, um Anomalien frühzeitig zu erkennen.
Drittens empfehlen sich in hochrisikobehafteten Umgebungen wie E-Mail-Gateways, Web-Proxys und Download-Scannern aggressivere Archiv-Scans: Dazu gehört das erzwungene Dekomprimieren potenziell inkonsistenter Archive mit unterschiedlichen Methoden, auch wenn dies mehr Rechenressourcen beansprucht. Einige moderne Unarchiver und Sicherheitslösungen implementieren derartige Prüfungen bereits und melden „verdächtige ZIP-Struktur“ anstatt eine Datei als harmlos zu klassifizieren.
Best Practices für Unternehmen und Endnutzer
Organisationen sollten ihre Richtlinien zum Umgang mit ZIP-Anhängen überprüfen, insbesondere im E-Mail-Verkehr und bei externen Dateiuploads. Archive aus unbekannten oder nicht vertrauenswürdigen Quellen sollten grundsätzlich in einer sandboxed oder isolierten Umgebung geöffnet werden. Erhält ein Anwender beim Entpacken Meldungen wie „unsupported method“ oder „Archiv beschädigt“, sollte die Datei nicht erneut geöffnet, sondern gelöscht und – soweit vorhanden – an das interne Security-Team zur Analyse weitergeleitet werden.
Abschließend unterstreicht die Technik Zombie ZIP, dass blinder Vertrauensvorschuss gegenüber Dateiformaten und Headern ein erhebliches Sicherheitsrisiko darstellt. Unternehmen sollten ihre Schutzmaßnahmen gegen archivbasierte Angriffe regelmäßig testen, Sicherheitsprodukte konsequent aktualisieren und mehrstufige Filtermechanismen für E-Mail- und Web-Traffic einsetzen. Wer Richtlinien zur Verarbeitung von Archiven schärft, Security-Teams für neue Angriffstechniken wie Zombie ZIP (CVE-2026-0866) sensibilisiert und verdächtige Dateien konsequent melden lässt, reduziert die Angriffsfläche nachhaltig und stärkt die eigene Cyber-Resilienz.
