Een nieuwe kwetsbaarheid, genaamd Zombie ZIP, maakt het mogelijk om malware langs bijna alle antivirusprogramma’s te loodsen. Zes dagen na de publicatie detecteren 60 van de 63 veelgebruikte antivirussuites het probleem nog steeds niet. Dat is een slagingspercentage van ruim 95% voor aanvallers.
De truc is simpel maar effectief. Een ZIP-bestand bevat een header met informatie over de inhoud. Als die header beweert dat de data ongecomprimeerd is, maar dat in werkelijkheid niet zo is, herkennen de meeste antivirusprogramma’s geen bekende malwaresignaturen. De software ziet alleen willekeurige bytes en slaat geen alarm. Het gecompromitteerde ZIP-bestand opent niet met gewone tools zoals 7-Zip of WinRAR. Toch is het eenvoudig om een klein hulpprogramma toe te voegen dat de mismatch begrijpt en de malware uitpakt.
De onderzoeker die de kwetsbaarheid ontdekte, publiceerde een werkend voorbeeld in Python. Dat voorbeeld bestaat uit slechts een tiental regels code. Voor individuele gebruikers is dit al zorgwekkend. Voor bedrijven met duizenden medewerkers en gevoelige data is het een serieus risico. Antivirusoplossingen kunnen de laadscripts niet zomaar blokkeren. Dit zou namelijk leiden tot een enorm aantal valse meldingen, omdat het laden van gecomprimeerde bestanden heel gewoon is in veel software. Het CERT heeft inmiddels een officieel advies gepubliceerd onder nummer VU#976247 en de kwetsbaarheid kreeg de aanduiding CVE-2026-0866. Systeembeheerders doen er verstandig aan om ZIP-bestanden in hun netwerken extra te controleren totdat antivirussuites een oplossing bieden.
