ZIP-Archive: Neuer Trick umgeht EDR-Scanner

Ein neuer Angriff auf ZIP-Metadaten legt Endpoint-Schutzsysteme lahm. Das US-amerikanische CERT Coordination Center warnt vor einer kritischen Schwachstelle, die Virenscanner und EDR-Lösungen austricksen kann. Die Technik nutzt manipulierte Archiv-Header, um Schadsoftware unbemerkt in Unternehmen einzuschleusen.

So funktioniert der Angriff auf die Metadaten

Der Kern der als CVE-2026-0866 gelisteten Schwachstelle liegt in den strukturellen Metadaten von ZIP-Archiven. Diese Header-Felder enthalten normalerweise Informationen zur Kompressionsmethode und Version. Angreifer manipulieren gezielt das Feld für die Kompressionsmethode.

Angesichts immer raffinierterer Methoden wie der Manipulation von Archiv-Metadaten stehen viele Firmen vor neuen Sicherheitsfragen. Dieser Experten-Report enthüllt effektive Strategien, wie sich mittelständische Unternehmen gegen moderne Cyberkriminelle wappnen können. Effektive Sicherheits-Strategien im Experten-Report entdecken

Wenn eine Sicherheitssoftware wie ein EDR-Scanner oder Antivirenprogramm auf ein solches Archiv trifft, liest es diese Metadaten, um den Inhalt zu dekomprimieren und zu prüfen. Ist das Kompressionsfeld verfälscht, schlägt dieser Prozess fehl. Die Software stuft die Datei oft einfach als "beschädigt" ein und überspringt die tiefergehende Analyse – genau das ist das Ziel der Angreifer.

Interessanterweise scheitern auch Standard-Tools wie 7-Zip an diesen Archiven. Die Gefahr bleibt jedoch akut: Denn Angreifer verwenden spezielle Custom Loader. Diese Programme ignorieren die manipulierten Header, dekomprimieren die versteckte Schadsoftware direkt und führen sie aus – völlig unbemerkt von den Sicherheitssystemen des Zielrechners.

Folgen für die Unternehmenssicherheit

Die Schwachstelle offenbart eine gravierende Lücke im Schutz moderner Endpoints. EDR-Lösungen sind darauf angewiesen, Dateien entpacken und analysieren zu können. Der Angriff untergräbt dieses Grundprinzip, indem er das Vertrauen der Scanner in die Archiv-Metadaten ausnutzt.

Besorgniserregend ist die Einfachheit der Methode. Sobald der spezielle Loader entwickelt ist, erfordert der Angriff kaum technisches Know-how. Ein manipuliertes Metadatenfeld reicht aus, um selbst bekannte Malware für hochgerüstete Unternehmensscanner unsichtbar zu machen.

Hinzu kommt: Viele Sicherheitsprodukte sind so konfiguriert, dass sie "beschädigte" Dateien lediglich protokollieren, um Performance-Einbrüche zu vermeiden. Sie lösen also keine hohen Prioritätsalarme aus, die das Security Operations Center (SOC) sofort auf den Plan rufen würden. Experten befürchten, dass vor allem Ransomware-Gruppen und sogenannte Initial Access Broker diese Technik schnell übernehmen werden, um ihre Phishing-Kampagnen effektiver zu gestalten.

Gegenmaßnahmen und Herstellerreaktionen

Als Reaktion auf die Veröffentlichung der Schwachstelle VU#976247 haben CERT/CC und andere Behörden konkrete Schritte empfohlen. Die zentrale Forderung an Sicherheitshersteller: Sie müssen aufhören, sich blind auf deklarierte Archiv-Metadaten zu verlassen.

Stattdessen müssen die Scanner so aktualisiert werden, dass sie die Kompressionsfelder gegen die tatsächlichen Datenstrukturen validieren. Wird eine Ungereimtheit entdeckt, sollte die Datei einer tiefergehenden, heuristischen Prüfung unterzogen und nicht einfach verworfen werden. Einige Anbieter haben bereits mit der Überarbeitung ihrer Archiv-Scanning-Engines begonnen.

Für Unternehmen gilt es jetzt, ihre EDR- und Antiviren-Anbieter zu kontaktieren, um den eigenen Schutzstatus zu klären. Zusätzliche Sicherheit bieten strenge E-Mail-Filter, die fehlerhafte Archive bereits am Gateway aussortieren. SOC-Teams sollten zudem verstärkt nach ungewöhnlichen Aktivitäten oder unbekannten Entpackungstools auf Endgeräten suchen.

Da herkömmliche Sicherheitslösungen oft an ihre Grenzen stoßen, wird die proaktive Stärkung der IT-Infrastruktur für IT-Verantwortliche zur Pflicht. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Ihr Unternehmen mit gezielten Maßnahmen schützen, ohne die IT-Abteilung massiv ausbauen zu müssen. Kostenlosen Leitfaden zur IT-Sicherheit jetzt herunterladen

Ein alter Trick in neuem Gewand

Der Missbrauch von Archivformaten ist im Cyberspace kein neues Phänomen. Bereits frühere Schwachstellen wie CVE-2004-0935 nutzten ähnliche Prinzipien. Die gezielte Manipulation von Kompressions-Headern zur Umgehung moderner EDR-Systeme stellt jedoch eine Weiterentwicklung dar, die auf die heutige Sicherheitslandschaft zugeschnitten ist.

Während frühere Methoden – wie passwortgeschützte ZIPs oder künstlich aufgeblähte Dateien – oft selbst Verdacht erregten, ist der neue Trick tückischer: Er imitiert einen alltäglichen Dateifehler. "Beschädigte" Downloads sind in Unternehmen keine Seltenheit und ziehen selten die Aufmerksamkeit eines menschlichen Analysts auf sich. So kann die Malware unentdeckt auf einem System verbleiben, bis der Loader aktiviert wird.

Die Schwachstelle wirft ein Schlaglicht auf ein grundsätzliches Dilemma der Branche: den Trade-off zwischen Scan-Geschwindigkeit und Gründlichkeit. EDR-Systeme müssen Tausende Dateien pro Minute verarbeiten; der Rückgriff auf Metadaten ist dafür ein notwendiger Shortcut. CVE-2026-0866 zwingt die Hersteller nun, dieses Gleichgewicht neu zu bewerten – was künftig zu ressourcenintensiveren Scan-Prozessen führen könnte.

Was jetzt auf Unternehmen zukommt

Mit der Verbreitung der technischen Details in der Fachwelt und in Foren von Cyberkriminellen ist ein Anstieg von Angriffen mit dieser Methode sehr wahrscheinlich. Die kommenden Monate werden ein Wettrennen zwischen Angreifern, die ihre Loader verfeinern, und Herstellern, die ihre Scanner nachbessern, sehen.

Unternehmen müssen sich auf eine phase erhöhten Risikos einstellen. Die erfolgreiche Abwehr wird letztlich von einer gemeinsamen Anstrengung abhängen: Die Sicherheitshersteller müssen ihre Parsing-Fähigkeiten verbessern, während die Unternehmens-IT wachsam die Endpoint-Umgebungen überwachen und ihre Prozesse anpassen muss.