Unter Benutzergruppen von Komprimierungssoftware gibt es häufig eine Debatte zwischen WinRAR und 7-Zip. Allerdings hat eine kürzlich aufgedeckte zugrunde liegende Schwachstelle alle Benutzer gleichzeitig in eine Krise gestürzt. Chris Aziz, Forscher beim Cybersicherheitsunternehmen Bombadil Systems, hat eine schwerwiegende Sicherheitslücke namens „Zombie ZIP“ entdeckt und aufgedeckt. Derzeit kann keine der 50 gängigen Antiviren-Engines auf VirusTotal solche problematischen ZIP-Dateien erkennen.

Diese Sicherheitslücke nutzt Fehler in der zugrunde liegenden Logik komprimierter Dateien aus. Unabhängig davon, welches Dekomprimierungstool der Benutzer verwendet, kann der Hacker den Code ausführen und die Kontrolle über das System übernehmen, solange ein speziell manipuliertes bösartiges ZIP-Paket geöffnet und auf die darin enthaltenen Dateien geklickt wird.

Der Kern dieser Schwachstelle liegt in der Fälschung von ZIP-Dateiheadern. Untersuchungen haben ergeben, dass die meisten Antiviren-Engines beim Scannen komprimierter Pakete blind dem Feld „Methode“ (Komprimierungsmethode) vertrauen.

Der Hacker hat dieses Feld absichtlich auf 0 gesetzt, was den unkomprimierten Zustand darstellt, wodurch die Antiviren-Engine davon ausgeht, dass sich die Datei im ursprünglichen Speichermodus befindet, und den Dekomprimierungsscan überspringt. Es wird lediglich ein Haufen verwirrender „Komprimierungsgeräusche“ gelesen und die enthaltene Schadprogrammsignatur kann überhaupt nicht identifiziert werden.

Gleichzeitig griffen Hacker die Fehlermeldemechanismen von WinRAR, 7-Zip und anderen Tools an, indem sie den CRC-Prüfwert absichtlich auf den Wert im unkomprimierten Zustand setzten, aber einen benutzerdefinierten DEFLATE-Algorithmus-Loader in die ZIP-Datei einbetteten, was dazu führte, dass das Dekomprimierungstool den gefälschten Dateiheader direkt ignorierte und den versteckten Schadcode freigab.

Diese doppelte Täuschungsmethode erzielt einen nahezu perfekten Stealth-Effekt. Die Antivirensoftware geht fälschlicherweise davon aus, dass die Datei sicher ist, und das Dekomprimierungstool gibt das Schadprogramm normal frei, und der Benutzer klickt, um es auszuführen, und wird ausgetrickst.

Das Computer Emergency Response Team Coordination Center (CERT/CC) hat der Schwachstelle die Nummer CVE-2026-0866 zugewiesen und weist darauf hin, dass sie der Schwachstelle CVE-2004-0935 sehr ähnlich ist, die vor mehr als 20 Jahren frühe ESET-Antivirensoftware betraf.

CERT/CC warnt davor, dass Antiviren-Engines dem Methodenheader von ZIP-Dateien nicht blind vertrauen sollten und das Komprimierungsfeld mit den tatsächlichen Daten vergleichen und einen Mechanismus hinzufügen müssen, um komprimierte Pakete mit abnormaler Struktur zu identifizieren.

Bevor der Hersteller einen Patch veröffentlicht, sollten Benutzer beim Umgang mit ZIP-Dateien unbekannter Herkunft äußerst vorsichtig sein und nicht leichtfertig auf die darin enthaltenen Dateien klicken.