Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Chris Aziz, ricercatore di sicurezza presso Bombadil Systems, ha sviluppato e dimostrato una tecnica di attacco chiamata Zombie ZIP, la quale consente di nascondere payload dannosi all’interno di archivi ZIP in modo che non vengano rilevati dai sistemi antivirus e EDR.
Lo specialista spiega che l’attacco consiste nella manipolazione delle intestazioni del file ZIP. Il campo Metodo è impostato su 0 (STORED), il che significa che “i dati non sono compressi”. Tuttavia, in realtà, il contenuto dell’archivio è compresso utilizzando l’algoritmo Deflate. I programmi antivirus si fidano dell’intestazione e tentano di analizzare il contenuto come byte grezzi, ma vedono solo “rumore” compresso che non riconosce alcuna firma.
I programmi di decompressione standard come WinRAR, 7-Zip o unzip segnalano errori o estraggono dati corrotti quando tentano di decomprimere un archivio di questo tipo. Ciò accade perché il valore CRC (checksum) nell’archivio è specificato per la versione non compressa del contenuto. Tuttavia, un programma di download appositamente creato che ignora l’intestazione e decomprime i dati come file Deflate può facilmente estrarre il contenuto nascosto.
Aziz ha già pubblicato una prova di concetto (PoC) su GitHub, comprensiva di archivi di esempio e una descrizione dettagliata del metodo. Il Centro di coordinamento CERT (CERT/CC) ha già emesso un avviso in merito a questa tecnica di attacco. Al problema è stato assegnato l’identificativo CVE-2026-0866 e gli esperti notano che assomiglia alla vulnerabilità CVE-2004-0935, scoperta oltre 20 anni fa in una versione precedente del software antivirus ESET.
Si sottolinea che alcuni strumenti di decompressione sono ancora in grado di gestire correttamente tali “archivi zombie”.
CERT/CC raccomanda agli sviluppatori di soluzioni di sicurezza di convalidare il campo relativo al metodo di compressione confrontandolo con i dati effettivi, di aggiungere meccanismi per rilevare incongruenze nella struttura dell’archivio e di implementare modalità di verifica più rigorose. Si consiglia agli utenti di prestare attenzione agli archivi provenienti da fonti sconosciute e di eliminarli qualora si verifichi un errore di “metodo non supportato” durante la decompressione.
