Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong cách các hệ thống Antivirus và Endpoint Detection and Response (EDR) xử lý các tệp lưu trữ. Lỗ hổng này cho phép các payload độc hại vượt qua các trình quét bảo mật tiêu chuẩn mà không bị phát hiện.

Lỗ hổng này, được định danh là CVE-2026-0866, cho phép kẻ tấn công sử dụng các tiêu đề tệp ZIP được tạo lỗi có chủ đích. Kỹ thuật này giúp chèn các payload độc hại vượt qua các trình quét bảo mật tiêu chuẩn mà không bị phát hiện.

Các tệp lưu trữ ZIP bao gồm siêu dữ liệu nhúng, chẳng hạn như chi tiết phiên bản, cờ hoạt động và các phương pháp nén cụ thể. Những thông tin này hướng dẫn phần mềm cách đọc và xử lý tệp.

Hầu hết các công cụ Antivirus và EDR đều dựa vào siêu dữ liệu này để xác định cách tiền xử lý và quét tệp lưu trữ trước khi cho phép nó vào hệ thống.

Kỹ thuật khai thác lỗ hổng CVE-2026-0866

Cơ chế đánh lừa phần mềm bảo mật

Khi một tác nhân đe dọa cố ý thay đổi trường phương pháp nén trong tiêu đề ZIP, trình quét bảo mật sẽ bị nhầm lẫn. Việc này làm thay đổi cách phần mềm đọc và giải nén dữ liệu.

Do quá phụ thuộc vào siêu dữ liệu đã bị giả mạo, phần mềm Antivirus không thể giải nén tệp lưu trữ một cách chính xác. Điều này khiến nó bỏ qua tệp, dẫn đến kết quả âm tính giả (false negative).

Vì trình quét không đọc được nội dung, payload độc hại ẩn bên trong tệp ZIP hoàn toàn không bị phát hiện bởi các phân tích bảo mật tự động.

Thách thức và giải pháp của kẻ tấn công

Việc thay đổi tiêu đề ZIP không chỉ đánh lừa phần mềm bảo mật mà còn làm hỏng tệp khi được giải nén bằng các công cụ tiêu chuẩn. Các chương trình hợp pháp như 7-Zip, module zipfile của Python, và các tiện ích giải nén tiêu chuẩn của hệ điều hành sẽ đọc siêu dữ liệu bị giả mạo.

Chúng sẽ cố gắng giải nén tệp nhưng cuối cùng thất bại. Thông thường, các công cụ này sẽ hiển thị lỗi “CRC” hoặc “phương pháp không được hỗ trợ”, ngăn chặn việc giải nén hoặc truy cập dữ liệu bên trong.

Để vượt qua rào cản này và thực thi mã độc, kẻ tấn công triển khai một bộ tải tùy chỉnh (custom loader). Bộ tải chuyên biệt này được lập trình để bỏ qua hoàn toàn phương pháp nén giả mạo.

Thay vào đó, nó bỏ qua siêu dữ liệu bị lỗi và truy cập trực tiếp vào dữ liệu độc hại được nhúng. Quy trình hai bước này đảm bảo payload vẫn vô hình đối với các sản phẩm bảo mật trong quá trình quét ban đầu. Đồng thời, mã độc vẫn được thực thi thành công ngay khi bộ tải tùy chỉnh kích hoạt trên máy mục tiêu. Đây là một phương thức tấn công mạng tinh vi.

Phát hiện và bối cảnh của lỗ hổng CVE

Chiến thuật lẩn tránh này, được phát hiện bởi nhà nghiên cứu bảo mật Christopher Aziz, cho thấy một điểm mù nguy hiểm trong các phương pháp quét tệp lưu trữ hiện đại. Phát hiện về lỗ hổng CVE này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm tra toàn diện các tệp nén.

Lỗ hổng này có những đặc điểm tương đồng với một lỗ hổng cũ hơn từ năm 2004 (CVE-2004-0935). Điều này chứng tỏ việc thao túng siêu dữ liệu tệp lưu trữ vẫn là một vector tấn công hiệu quả cao hiện nay. Tấn công khai thác lỗ hổng CVE dạng này cho thấy sự bền vững của một số kỹ thuật tấn công cũ.

Các nhà cung cấp bị ảnh hưởng bởi lỗ hổng CVE

Cisco đã xác nhận bị ảnh hưởng bởi lỗ hổng CVE-2026-0866 này. Gần 30 nhà cung cấp bảo mật khác, bao gồm Bitdefender, Avast và AhnLab, hiện có tình trạng dễ bị tổn thương chưa được xác định. Điều này tạo ra một rủi ro bảo mật tiềm ẩn trên diện rộng.

Biện pháp phòng ngừa và giảm thiểu cho lỗ hổng CVE

Để chống lại kỹ thuật lẩn tránh này, cộng đồng an ninh mạng và các nhà cung cấp phần mềm phải điều chỉnh các phương pháp quét của họ. Theo CERT Coordination Center, chi tiết trong lưu ý về lỗ hổng VU#976247, các tổ chức nên xem xét các biện pháp bảo vệ sau:

• Đánh giá lại sự phụ thuộc vào siêu dữ liệu: Các nhà cung cấp bảo mật không nên chỉ dựa vào siêu dữ liệu tệp lưu trữ được khai báo để xác định quy trình xử lý nội dung. Cần có các lớp kiểm tra bổ sung để xác minh tính toàn vẹn.
• Triển khai chế độ phát hiện tích cực: Các trình quét EDR cần triển khai các chế độ phát hiện tích cực. Các chế độ này phải xác thực đặc điểm nội dung tệp thực tế so với phương pháp nén đã khai báo. Điều này giúp phát hiện các điểm không nhất quán.
• Cấu hình hệ thống Antivirus: Hệ thống Antivirus nên được cấu hình để gắn cờ và cách ly các tệp lưu trữ có tiêu đề không nhất quán hoặc bị hỏng. Điều này nhằm mục đích kiểm tra sâu hơn bằng thủ công hoặc tự động, giảm nguy cơ xâm nhập mạng.
• Liên hệ và kiểm tra lỗ hổng CVE: Các tổ chức nên liên hệ ngay lập tức với các nhà cung cấp EDR và Antivirus của mình. Mục đích là để xác minh liệu các giải pháp hiện tại có bị ảnh hưởng bởi CVE-2026-0866 hay không và yêu cầu bản vá bảo mật.
• Theo dõi bộ tải tùy chỉnh: Các nhóm săn lùng mối đe dọa (threat-hunting teams) nên theo dõi sự hiện diện của các bộ tải tùy chỉnh. Những bộ tải này là cần thiết để giải nén các payload mà các công cụ tiêu chuẩn không thể mở, báo hiệu một tấn công mạng tiềm tàng.