VU#976247: アンチウイルスおよびエンドポイント検出... ノート

VU#976247: アンチウイルスおよびエンドポイント検出と応答アーカイブスキャンエンジンは、不正な形式の ZIP アーカイブを適切にスキャンしない可能性があります。

不正なZIPヘッダーは、一部の解凍ソフトウェアがアーカイブを解凍できるため、アンチウイルスおよびEDRソフトウェアが誤検知を引き起こす可能性があります。ZIPアーカイブは、圧縮方法やバージョン情報など、アンチウイルスエンジンが前処理に使用する重要なメタデータを含んでいます。攻撃者は圧縮方法フィールドを改ざんし、ペイロードの適切な解凍と分析を妨げることができます。アンチウイルスシステムを回避した後、宣言された方法をバイパスするカスタムローダーによってペイロードを回復できます。この手法により、攻撃者は悪意のあるコンテンツを隠蔽しつつ、プログラム的に取得することができます。しかし、標準的な解凍ツールは、これらの操作されたアーカイブに遭遇するとエラーで失敗することがよくあります。この脆弱性は、以前に特定されたCVEに似ています。リモートの攻撃者は、アンチウイルスまたはEDRソフトウェアによる検査を回避するために、改ざんされたメタデータを持つZIPアーカイブを作成できます。多くの製品がファイルを破損しているとフラグを立てる可能性がありますが、悪意のあるコードの実行には、アーカイブの抽出または処理を行うためのユーザーの操作が必要です。宣言された圧縮方法を無視するカスタムローダーは、隠蔽されたコンテンツを回復して実行できます。アンチウイルスおよびEDRベンダーは、コンテンツ処理のために宣言されたアーカイブメタデータのみに依存することを避けるべきです。スキャナーは、実際のコンテンツに対して圧縮方法フィールドを検証し、矛盾にフラグを立てるために、より積極的な検出モードを実装する必要があります。ユーザーは、脆弱性評価と軽減策について、アンチウイルスまたはEDRプロバイダーに連絡することをお勧めします。