Ir directamente al contenido

CVE-2026-0866 Zombie ZIP

14 marzo, 2026

🚨 “Zombie ZIP”: cómo archivos ZIP malformados pueden evadir los análisis de antivirus

El CERT Coordination Center (CERT/CC) ha publicado recientemente un aviso sobre una técnica denominada “Zombie ZIP”, que permite a atacantes evadir la detección de antivirus mediante archivos ZIP malformados.

📌 ¿Cómo funciona?

Los antivirus suelen usar los metadatos del archivo para determinar qué procesos aplicar antes de analizarlo (por ejemplo, descomprimirlo). Si un atacante manipula el indicador del método de compresión, el antivirus puede analizar el archivo como si estuviera sin comprimir, cuando en realidad su contenido sigue comprimido con DEFLATE.
El resultado: el motor de detección puede no encontrar firmas maliciosas.

Además, si el campo CRC (Cyclic Redundancy Check) también está alterado:

  • Herramientas comunes como 7-Zip, unzip o WinRAR no podrán extraer el contenido.
  • Sin embargo, un loader diseñado específicamente que ignore el método declarado sí podrá descomprimir el archivo y ejecutar el posible payload malicioso.

📊 Este comportamiento se está siguiendo bajo CVE-2026-0866 y VU#976247, aunque existe debate sobre su clasificación.
Por ejemplo, Cisco considera que no es una vulnerabilidad propiamente dicha, sino una recomendación de hardening para mejorar los mecanismos de análisis.

🔐 Recomendación del CERT/CC

Los motores de seguridad deberían:

  • No confiar únicamente en los metadatos declarados del archivo
  • Implementar modos de detección más agresivos
  • Validar el método de compresión frente al contenido real y marcar inconsistencias para análisis adicional

💡 Este caso vuelve a recordarnos que los controles basados únicamente en metadatos o firmas pueden ser insuficientes frente a técnicas de evasión relativamente simples.

🔎 Más información:

kb.cert.org: Antivirus and Endpoint Detection and Response Archive Scanning Engines may not properly scan malformed zip archives
github.com: Bombadil-Systems/zombie-zip
isc.sans.edu: Analyzing «Zombie Zip» Files (CVE-2026-0866)
scworld: http://www.scworld.com
bleepingcomputer: http://www.bleepingcomputer.com

#CyberSecurity #Malware #ThreatDetection #Antivirus #EDR #Infosec #ThreatIntelligence

from → Comentario critico
No comments yet

Deja un comentario