Lỗ hổng CVE-2026-0866 cho phép giấu mã độc trong file ZIP để qua mặt EDR trên toàn cầu

[WhiteHat Team]

Sự xuất hiện của CVE-2026-0866 đang đặt các hệ thống diệt virus và phản ứng điểm cuối (EDR) vào tình thế báo động khi một kỹ thuật đánh lừa cấu trúc tệp tin cũ được nâng tầm. Bằng cách chỉnh sửa thông tin trong phần tiêu đề của file ZIP, kẻ tấn công có thể khiến tệp trông giống như bị lỗi, trong khi mã độc bên trong vẫn tồn tại và có thể được khôi phục để thực thi.
​

Kỹ thuật này tạo ra các tệp được gọi là “shadow archive”. Về bên ngoài, chúng giống như một file ZIP bị hỏng, nhưng dữ liệu thực bên trong vẫn hợp lệ. Nhiều công cụ quét hiện nay dựa vào metadata trong header của file ZIP để quyết định cách giải nén trước khi phân tích nội dung. Trong phần metadata này có trường compression method, dùng để xác định phương thức nén và cách dữ liệu được xử lý.

Nếu trường này bị chỉnh sửa thành giá trị sai, công cụ quét có thể không giải nén được tệp và dừng quá trình phân tích. Khi đó payload độc hại bên trong không được kiểm tra và tệp có thể lọt qua hệ thống phát hiện. Về bản chất, CVE-2026-0866 không phải là lỗi của định dạng ZIP mà là điểm yếu trong cách nhiều công cụ quét xử lý metadata của tệp nén, khiến quá trình phân tích nội dung có thể bị bỏ qua.

Những file ZIP bị chỉnh sửa theo cách này thường khiến các công cụ giải nén phổ biến như 7-Zip hoặc thư viện zipfile của Python báo lỗi “unsupported method”, khiến chúng trông giống một tệp bị hỏng. Tuy nhiên tin tặc có thể sử dụng một chương trình loader được viết riêng để bỏ qua thông tin sai trong header và giải nén trực tiếp dữ liệu thật. Khi đó payload độc hại vẫn được khôi phục và thực thi trên hệ thống.

Phương pháp này có nhiều điểm tương đồng với kỹ thuật từng được nhắc tới trong CVE-2004-0935, nơi sự khác biệt giữa metadata và dữ liệu thực tế của file nén khiến công cụ quét xử lý sai. Trong nhiều trường hợp phần mềm chỉ đánh dấu tệp là “corrupted” mà không phân tích sâu hơn, khiến mối nguy tiềm ẩn không được nhận diện.

Các chuyên gia cho rằng các công cụ quét cần thay đổi cách xử lý tệp nén để giảm nguy cơ bị qua mặt bởi những kỹ thuật như trong CVE-2026-0866. Thay vì chỉ dựa vào thông tin khai báo trong header, hệ thống cần áp dụng các cơ chế kiểm tra sâu hơn, bao gồm:​

• Không phụ thuộc hoàn toàn vào metadata trong header khi xác định phương thức giải nén của tệp.​
• Đối chiếu phương thức nén được khai báo trong header với cấu trúc dữ liệu thực tế của archive nhằm phát hiện các sai lệch bất thường.​
• Phát hiện các bất thường trong cấu trúc file ZIP, đặc biệt là những trường header bị chỉnh sửa hoặc không phù hợp với nội dung dữ liệu.​
• Kích hoạt cơ chế phân tích sâu hoặc sandbox đối với các tệp nén có dấu hiệu nghi vấn, thay vì chỉ gắn nhãn “corrupted” và bỏ qua quá trình phân tích.​

Theo các chuyên gia, CVE-2026-0866 là lời nhắc rằng ngay cả những định dạng phổ biến như ZIP cũng có thể bị lợi dụng để che giấu mã độc nếu công cụ quét chỉ dựa vào metadata mà không kiểm tra kỹ nội dung thực tế của tệp.
​

Theo Security Online​