Microsoft und Zombie ZIP: Neue Angriffswelle bedroht Datenbanken

Schwere Sicherheitslücken in Microsoft SQL Server und ein neuartiger ZIP-Exploit umgehen fast alle Virenscanner. Die IT-Sicherheitsbranche warnt vor einer perfiden Kombination aus Tarnkappen-Malware und direkten Datenbank-Angriffen.

Zwischen dem 11. und 12. März 2026 offenbarten sich zwei kritische Schwachstellen, die das Fundament traditioneller IT-Sicherheit erschüttern. Während Microsoft eine Zero-Day-Lücke in seinem SQL Server schließt, demonstriert der sogenannte Zombie ZIP-Exploit, wie sich Schadsoftware an 98 Prozent aller Virenscanner vorbeischmuggeln lässt. Die Branche reagiert mit integrierten Scannern für Backups und KI-Infrastrukturen.

Angesichts solch raffinierter Angriffsmethoden stehen viele Verantwortliche vor der Frage, wie sie ihre Infrastruktur ohne explodierende Kosten absichern können. Dieser Experten-Report enthüllt effektive Strategien für mittelständische Unternehmen, um sich ohne Budget-Explosion gegen Cyberkriminelle zu wappnen. Effektive Sicherheits-Strategien im Experten-Report entdecken

Kritische Lücke: Angreifer übernehmen SQL Server komplett

Am 11. März patchte Microsoft im Rahmen seiner monatlichen Sicherheitsupdates eine schwerwiegende Schwachstelle im SQL Server. Die als CVE-2026-21262 geführte Lücke hat einen CVSS-Score von 8,8 von 10 und ermöglicht Angreifern die vollständige Übernahme der Datenbank.

Das Problem liegt in einer fehlerhaften Zugriffskontrolle. Ein Angreifer, der bereits minimalen Zugriff im Netzwerk hat, kann speziell präparierte SQL-Anfragen senden. Das System umgeht daraufhin die vorgesehenen Berechtigungsgrenzen – ohne weitere Interaktion.

Der Erfolg ist fatal: Der Angreifer erhält still und leise sysadmin-Rechte, also volle Administrator-Kontrolle. Sensible Datensätze können gelesen, manipuliert oder gelöscht werden. Automatisierte Datenbank-Jobs und Kernkonfigurationen lassen sich ändern. Die Datenbank wird so zur Basis für weitere Angriffe im Netzwerk. Besonders tückisch: Diese Rechteausweitung geschieht laut Sicherheitsanalysten oft unbemerkt, da Standard-Überwachungstools sie nicht erfassen.

Zombie ZIP: Fast alle Virenscanner versagen

Parallel untergräbt eine neue Angriffstechnik die Malware-Erkennung an der Netzwerkgrenze. Das CERT Coordination Center warnte am 12. März vor dem Proof-of-Concept-Exploit Zombie ZIP (CVE-2026-0866). Er tarnt Schadcode in ZIP-Archiven und umgeht damit fast alle gängigen Antiviren- und Endpoint-Detection-Systeme.

Ein Forscher von Bombadil Systems manipulierte dafür den Archiv-Header. Die ZIP-Datei gibt vor, unkomprimiert (STORED) zu sein, enthält aber tatsächlich mit DEFLATE komprimierte Schadsoftware. Herkömmliche Scanner prüfen die Datei daraufhin als unkomprimierte Daten – und durchsuchen nur komprimiertes Rauschen, nicht die eigentlichen Schadsignaturen.

Tests auf der Plattform VirusTotal mit 51 Scan-Engines zeigten eine 98-prozentige Fehlerquote. Nur ein Anbieter erkannte die Bedrohung. Standard-Tools wie WinRAR oder 7-Zip können die fehlerhaften Archive nicht öffnen. Der Exploit enthält jedoch einen eigenen Loader, der die versteckte Nutzlast extrahiert und ausführt. Das CERT rät Herstellern, ihre Engines so zu aktualisieren, dass sie die Komprimierungsmethode gegen den tatsächlichen Inhalt validieren – und sich nicht auf Metadaten verlassen.

Die rasanten Entwicklungen bei Angriffstechniken und die neue Gesetzgebung zur KI-Regulierung fordern von der Geschäftsführung heute ein tieferes Verständnis der IT-Sicherheit. Dieser kostenlose Leitfaden zeigt praxisnah auf, was Geschäftsführer über Cyber Security 2024 und aktuelle Schutzmaßnahmen wissen müssen. Kostenlosen Cyber-Security-Leitfaden jetzt herunterladen

Branchenreaktion: Scanner wandern in die Datensicherung

Als Reaktion auf die raffinierteren Angriffsmethoden integrieren Anbieter wie Cohesity tiefgreifende Sicherheitskontrollen direkt in Backup- und Storage-Umgebungen. Am 11. März kündigte das Unternehmen verbesserte Scans zum Schutz von Datenbanken, KI-Infrastrukturen und gesicherten Daten an.

Die neue Funktionalität bindet die Malware-Erkennung direkt in die Storage-Appliance ein. So können Unternehmen versteckte Bedrohungen in isolierten Umgebungen identifizieren und sicherstellen, dass Wiederherstellungspunkte sauber sind, bevor sie Datenbanken zurücküberspielen.

Besonderes Augenmerk liegt auf KI-Agenten. Kompromittierte KI-Systeme können immense Schäden in Datenbanken anrichten, wenn ihr Zugriff nicht streng überwacht wird. Durch immutable Snapshots von KI-Umgebungen soll die Plattform die Wiederherstellung synchronisierter, malware-freier Datenbankversionen ermöglichen.

Analyse: Die Evolution der Tarnkappen-Bedrohungen

Die Ereignisse zeigen eine klare Entwicklung: Cyberkriminelle umgehen etablierte Sicherheitsarchitekturen gezielt. Statische Malware-Signaturdatenbanken werden zunehmend wirkungslos, wenn Angreifer strukturelle Lücken wie Zombie ZIP finden. Schafft die Schadsoftware es erst einmal ins Netzwerk, bieten Schwachstellen wie die im SQL Server die Hebelwirkung für den Zugriff auf gesamte Datenbanklandschaften.

Sicherheitsanalysten warnen vor dem kombinierten Risiko aus Tarnkappen-Malware und Rechteausweitung. Kann eine Nutzlast als korrumpiertes Archiv die erste Verteidigungslinie passieren, kann sie anschließend Skripte zur Ausnutzung interner Datenbanklücken absetzen. Erforderlich ist daher eine tiefgestaffelte Verteidigung. Die Malware-Erkennung darf nicht an der Netzwerkgrenze enden, sondern muss ruhende Daten, Backup-Archive und interne Datenbankabfragen kontinuierlich überwachen.

Historisch betrachtet offenbart Zombie ZIP ein systemisches Problem. Das CERT wies darauf hin, dass der neue Exploit einer 22 Jahre alten Schwachstelle in früher Antivirensoftware gleicht. Grundlegende Annahmen über Datei-Metadaten machen moderne Scan-Engines demnach weiterhin anfällig für alte Angriffskonzepte.

Ausblick: Vom Signatur-Abgleich zur Verhaltensanalyse

Die IT-Sicherheitsbranche steht unter Druck. Die Art und Weise, wie Scan-Engines Archivdaten verarbeiten und Datenbankinteraktionen überwachen, muss überholt werden. Anbieter von Endpoint Detection and Response (EDR) werden voraussichtlich schnell Updates ausrollen, die Dateiinhalte prüfen – und sich nicht auf manipulierte Header verlassen.

Für Datenbankadministratoren ist die oberste Priorität klar: Die März-2026-Updates für Microsoft SQL Server müssen umgehend installiert werden, um das Einfallstor zu schließen. Langfristig erfordert die Lage jedoch einen operativen Wandel hin zu Zero-Trust-Architekturen. Dabei wird jeder Datenbankzugriff kontinuierlich authentifiziert und anomale Abfragen in Echtzeit markiert.

Mit der zunehmenden Integration von KI-Systemen in Unternehmensdatenbanken dürfte eingebettete Malware-Erkennung auf Appliance-Ebene zum Standard werden. Unternehmen müssen sich auf eine Zukunft einstellen, in der die Bedrohungserkennung weniger vom Abgleich bekannter Signaturen abhängt. Stattdessen wird die strukturelle Integrität und das Verhalten jeder Datei und jedes Nutzers im Umgang mit kritischen Daten zur neuen Verteidigungslinie.

boerse | 68681226 |