Zombie Zip: Einfacher Bypass legt fast alle Virenscanner lahm

Eine neue Schwachstelle namens „Zombie Zip“ umgeht Microsoft Defender und die meisten Top-Antivirenprogramme weltweit. Die Technik nutzt einen simplen Ein-Byte-Fehler in ZIP-Dateien, um Schadcode für Scanner unsichtbar zu machen – und stellt damit die Zuverlässigkeit konventioneller Bedrohungserkennung fundamental infrage.

So funktioniert der tückische Bypass

Der Kern der Schwachstelle (CVE-2026-0866) ist eine Manipulation der Metadaten. Angreifer ändern ein einziges Byte im Archiv-Header: Dieser behauptet, die Datei sei unkomprimiert („STORED“), während der eigentliche Schadcode im Standard-Format „DEFLATE“ vorliegt. Die Virenscanner vertrauen dem Header blind und versuchen, die komprimierten Daten wie unkomprimierte zu lesen. Das Ergebnis: Sie sehen nur sinnfreies Rauschen und geben die Datei als sauber frei. In Tests fielen 65 von 66 Sicherheitsprodukten auf diese Methode herein.

Während neue Schwachstellen wie „Zombie Zip“ herkömmliche Scanner umgehen, müssen Unternehmen ihre gesamte Sicherheitsstrategie überdenken. Dieser kostenlose Leitfaden zeigt Geschäftsführern und IT-Verantwortlichen, wie sie ihren Betrieb mit proaktiven Maßnahmen effektiv vor modernen Cyberangriffen schützen. IT-Sicherheit stärken und Unternehmen schützen

Ein altbekanntes Problem kehrt zurück

Beunruhigend ist, dass das Prinzip nicht neu ist. Forscher verweisen auf eine ähnliche Schwachstelle aus dem Jahr 2004. Das Wiederaufleben dieses Angriffsvektors zeigt ein grundlegendes Problem: Sicherheitssoftware validiert Dateistrukturen oft unzureichend, bevor sie den Inhalt scannt. Die Schwachstelle wurde im Januar an das CERT Coordination Center gemeldet, das die Koordination mit über 30 betroffenen Herstellern übernahm. Cisco bestätigte, dass seine ClamAV-Engine die manipulierten ZIPs nicht erfassen konnte. Patches sind in Arbeit, doch bis zur flächendeckenden Verteilung bleibt das Risiko akut.

Systemisches Risiko: Die perfekte Eintrittskarte

„Zombie Zip“ ist keine isolierte Gefahr. Die Technik dient als perfekte Eintrittskarte für komplexere Angriffe. Gelingt die erste Infiltration, nutzen Kriminelle weitere Schwachstellen, um ihre Rechte auszuweiten. Genau hier werden die Updates des jüngsten Microsoft Patch Tuesday vom 11. März kritisch wichtig.

Dieses Update behebt fast 80 Sicherheitslücken, über die Hälfte davon sind Rechteausweitungsschwachstellen (EoP). Microsoft stuft mehrere Fehler in Windows-Kernel, SMB-Server und Winlogon als „wahrscheinlich ausnutzbar“ ein. Ein Angreifer, der per Zombie Zip Fuß fasst, könnte eine dieser EoP-Lücken nutzen, um SYSTEM-Rechte zu erlangen und die Maschine komplett zu übernehmen. Die jüngsten Patches schließen somit die Tür für die nächste Angriffsstufe.

Grundlegendes Vertrauen erschüttert

Die Wirksamkeit des Bypasses gegen Microsoft Defender und andere Marktführer erschüttert eine Grundannahme: das Vertrauen in Datei-Metadaten. Der Vorfall zeigt, dass selbst die basalen Elemente eines Dateiformats für bösartige Zwecke manipuliert werden können. Er unterstreicht die Notwendigkeit einer mehrschichtigen Sicherheitsstrategie. Allein auf Endpoint-Antiviren zu setzen, ist unzureichend.

Angesichts immer komplexerer Bedrohungen und neuer gesetzlicher Anforderungen ist ein fundiertes Wissen über aktuelle IT-Trends für Unternehmen unerlässlich. Erfahren Sie in diesem Experten-Report, wie mittelständische Betriebe effektive Schutzstrategien gegen Cyberkriminelle implementieren, ohne das Budget zu sprengen. Kostenloses E-Book: Cyber Security Trends entdecken

Aktive Bedrohungsakteure setzen parallel auf andere Methoden. Ein aktueller Geheimdienstbericht beschreibt etwa das Tool „DefendNot“, das Windows Defender deaktiviert, indem es das Windows Security Center über eine angebliche andere Antivirenlösung täuscht. Ob durch Tarnkappen-Malware oder Abschaltung der Wache – das Ziel ist identisch: einen wehrlosen Pfad für den Angriff zu schaffen.

Was Nutzer und Unternehmen jetzt tun müssen

Während Hersteller an Patches arbeiten, sind sofortige Maßnahmen erforderlich. Die dringlichste Aktion ist die Installation der Sicherheitsupdates vom März 2026. Diese verhindern zwar keinen Zombie-Zip-Angriff selbst, härten das System aber gegen die Folgeschritte nach einem erfolgreichen Einbruch ab.

Experten empfehlen einen mehrschichtigen Ansatz:
* Anwendungskontrolle: Nicht signierte oder nicht vertrauenswürdige Programme sollten standardmäßig blockiert werden.
* Skript-Einschränkungen: Die Nutzung von PowerShell und ähnlichen Skriptsprachen sollte reglementiert sein.
* Sensibilisierung: Regelmäßige Schulungen helfen Mitarbeitern, Phishing-Versuche und verdächtige Anhänge zu erkennen.

„Zombie Zip“ demonstriert eindrücklich: Antivirenprogramme sind unverzichtbar, aber nicht unfehlbar. Eine robuste Sicherheitsstrategie muss davon ausgehen, dass die erste Verteidigungslinie irgendwann durchbrochen wird.

boerse | 68673492 |