VU#976247: 바이러스 백신 및 엔드포인트 탐지 및 대응(EDR) 아카이브 스캔 엔진이 손상된 ZIP 아카이브를 제대로 스캔하지 못할 수 있습니다.
잘못된 ZIP 헤더는 일부 압축 해제 소프트웨어가 아카이브를 압축 해제할 수 있기 때문에 바이러스 백신 및 EDR 소프트웨어가 가짜 음성을 생성하도록 합니다. ZIP 아카이브는 압축 방법 및 버전 정보와 같은 중요한 메타데이터를 보유하며, 이는 바이러스 백신 엔진이 전처리에 사용합니다. 공격자는 압축 방법 필드를 수정하여 페이로드의 적절한 압축 해제 및 분석을 방지할 수 있습니다. 바이러스 백신 시스템을 우회한 후, 페이로드는 선언된 방법을 우회하는 사용자 지정 로더에 의해 복구될 수 있습니다. 이 기술을 통해 공격자는 악성 콘텐츠를 숨기면서도 프로그래밍 방식으로 검색할 수 있습니다. 그러나 표준 압축 해제 도구는 이러한 조작된 아카이브를 만났을 때 오류로 실패하는 경우가 많습니다. 이 취약점은 이전에 식별된 CVE와 유사합니다. 원격 공격자는 바이러스 백신 또는 EDR 소프트웨어의 검사를 우회하기 위해 변조된 메타데이터가 있는 ZIP 아카이브를 제작할 수 있습니다. 많은 제품이 파일을 손상된 것으로 플래그 지정할 수 있지만, 악성 코드 실행에는 아카이브를 추출하거나 처리하기 위한 사용자 상호 작용이 여전히 필요합니다. 선언된 압축 방법을 무시하는 사용자 지정 로더는 숨겨진 콘텐츠를 복구하고 실행할 수 있습니다. 바이러스 백신 및 EDR 공급업체는 콘텐츠 처리를 위해 선언된 아카이브 메타데이터에만 의존하는 것을 피해야 합니다. 스캐너는 실제 콘텐츠에 대해 압축 방법 필드를 검증하고 불일치를 플래그 지정하기 위해 보다 공격적인 탐지 모드를 구현해야 합니다. 사용자는 취약점 평가 및 완화 지침을 위해 바이러스 백신 또는 EDR 공급업체에 문의하는 것이 좋습니다.