VU#976247: Механизмы сканирова... Заметка

VU#976247: Механизмы сканирования архивов антивируса и обнаружения и реагирования на конечных точках могут некорректно сканировать поврежденные zip-архивы.

Искаженные заголовки ZIP-архивов позволяют антивирусному ПО и ПО для обнаружения и реагирования на угрозы (EDR) выдавать ложноотрицательные результаты, поскольку некоторое программное обеспечение для извлечения по-прежнему может распаковывать архив. ZIP-архивы содержат важные метаданные, такие как метод сжатия и информация о версии, которые антивирусные движки используют для предварительной обработки. Злоумышленники могут изменять поле метода сжатия, предотвращая надлежащую распаковку и анализ полезной нагрузки. После обхода антивирусных систем полезную нагрузку можно восстановить с помощью пользовательского загрузчика, который обходит объявленный метод. Эта техника позволяет злоумышленникам скрывать вредоносное содержимое, сохраняя при этом возможность его программного извлечения. Однако стандартные инструменты извлечения часто выдают ошибки при обнаружении этих манипулированных архивов. Эта уязвимость аналогична ранее выявленным CVE. Удаленный злоумышленник может создать ZIP-архив с подделанными метаданными, чтобы обойти проверку антивирусным ПО или ПО EDR. Хотя многие продукты могут пометить файл как поврежденный, для выполнения вредоносного кода по-прежнему требуется взаимодействие с пользователем для извлечения или обработки архива. Пользовательский загрузчик, игнорирующий объявленный метод сжатия, может восстановить и выполнить скрытое содержимое. Поставщики антивирусного ПО и ПО EDR должны избегать полагаться исключительно на объявленные метаданные архива для обработки содержимого. Сканеры должны реализовать более агрессивные режимы обнаружения для проверки полей метода сжатия по фактическому содержимому и помечать несоответствия. Пользователям рекомендуется обращаться к своим поставщикам антивирусного ПО или ПО EDR для оценки уязвимости и получения рекомендаций по смягчению последствий.