Was ein Zip of Death (Dekompressionsbombe) wirklich ist
A Zip des Todes-auch bekannt als Zip-Bombe oder Dekompressionsbombe-ist eine bösartige Archivdatei, die so erstellt wurde, dass sie das grundlegende Verhalten von Komprimierungsformaten ausnutzt. Wenn eine solche Datei dekomprimiert wird, kann sie auf eine enorme Größe anwachsen, die Systemressourcen überfordern und Prozesse oder sogar ganze Server zum Stillstand bringen. Was diesen Angriff so raffiniert und auch heute noch relevant macht, ist, dass er missbraucht legitime FunktionenDekomprimierung. Moderne Systeme gehen davon aus, dass komprimierte Dateien harmlos sind, aber eine Zip-Bombe verbraucht beim Entpacken still und leise CPU-, Arbeitsspeicher-, Speicher- oder E/A-Kapazität.
Im Gegensatz zu Malware, die Code ausführt oder Daten stiehlt, ist ein Zip of Death eine Denial-of-Service-Waffe eingebettet in ein Archiv. Ihr Ziel ist nicht der direkte Diebstahl, sondern Erschöpfung der Ressourcen und Unterbrechung des DienstesDadurch entstehen oft Möglichkeiten für weitere Angriffe oder es werden einfach automatisierte Arbeitsabläufe lahmgelegt.
Wie Zip of Death funktioniert: Die technischen Mechanismen
Der klassische Zip of Death nutzt die rekursive Kompression: Verschachtelte Archive komprimieren immer größere Datenmengen in täuschend kleine Dateien. Ein berühmtes historisches Beispiel ist die Datei "42.zip": Sie hat eine komprimierte Größe von etwa 42 KB, dekomprimiert aber über 4,5 Petabyte an Daten.
Dies ist darauf zurückzuführen, dass das ZIP-Format Verweise auf große Inhalte zulässt, die erst beim Entpacken materialisiert werden. Der Dekomprimierungsprozess weist allen Daten Speicher und Festplatte zu, bevor er die Kontrolle an die aufrufende Anwendung zurückgibt.
In modernen Umgebungen - Cloud-Pipelines, Microservices, CI/CD-Systeme - kann diese Ressourcenexplosion nicht nur ein einzelnes Programm, sondern ganze Cluster zum Erliegen bringen, da Dienste wiederholt ausfallen und neu gestartet werden.
Reale 2025 Sicherheitsvorfälle im Zusammenhang mit der Handhabung von Zip- oder Archivdateien
Obwohl klassische Zersetzungsbomben-Angriffe in freier Wildbahn schwer nachzuweisen sind (da die Angreifer sie oft mit anderen Taktiken kombinieren), brachte 2025 mehrere schwerwiegende Schwachstellen und Ausnutzungsmuster im Zusammenhang mit ZIP und Dekomprimierung:
CVE-2025-46730: Unsachgemäße Behandlung von stark komprimierten Daten
Diese Schwachstelle, die in der MobSF (Mobile Security Framework) ermöglicht es einer Zip-of-Death-Datei, den Festplattenspeicher des Servers zu belegen, da die Anwendung vor der Extraktion nicht die gesamte unkomprimierte Größe überprüft. Eine manipulierte ZIP-Datei von 12-15 MB kann bei der Dekomprimierung auf mehrere Gigabyte anwachsen, was zu einem Denial-of-Service des Servers führt. Feedly
Angreifer könnten Datei-Upload-Endpunkte ins Visier nehmen, ohne herkömmliche Malware-Signaturen auszulösen, und einfach die Dekomprimierung nutzen, um Dienste zum Absturz zu bringen und Arbeitsabläufe bei mobilen Sicherheitstests zu stören.
7-Zip-Sicherheitslücken werden aktiv ausgenutzt (CVE-2025-11001 & CVE-2025-0411)
Zip-Bomben wurden im Jahr 2025 gefährlicher, da Angreifer Schwachstellen in weit verbreiteten Dekomprimierungstools wie 7-Zip. Die als CVE-2025-11001 und CVE-2025-11002 verfolgten Sicherheitslücken betrafen die unsachgemäße Behandlung symbolischer Links in ZIP-Dateien, wodurch manipulierte Archive Dateien außerhalb der vorgesehenen Verzeichnisse schreiben und möglicherweise Code auf Windows-Systemen ausführen konnten. Hilfe zur Netzsicherheit
Ein weiterer ähnlicher Fehler, CVE-2025-0411Es handelt sich um eine Mark-of-the-Web (MoTW)-Umgehung, die es verschachtelten Archiven ermöglicht, beim Extrahieren die Windows-Sicherheitsprüfungen zu umgehen. NHS England Digital
In beiden Fällen ist ein echter Trend von 2025 zu erkennen: Kombination von Dekompressionsmissbrauch mit Path Traversal und Mechanismen der PrivilegieneskalationDadurch wird ein Zip of Death zu einer ernsthafteren Bedrohung als die herkömmliche Erschöpfung der Ressourcen.
Warum der Todeszeitpunkt auch im Jahr 2025 noch eine Rolle spielt
Viele Sicherheitsexperten gehen davon aus, dass Zip-Bomben ein alter Trick sind, der von Antiviren-Tools erkannt wird oder in modernen Cloud-Umgebungen irrelevant ist. Doch wie jüngste Vorfälle zeigen, die eigentliche Gefahr liegt darin, wo und wie die Dekompression eingesetzt wird. Systemen, die Archive automatisch verarbeiten - E-Mail-Gateways, CI/CD-Runner, Cloud-Objektprozessoren und Abhängigkeitsmanager - mangelt es oft an angemessenen Prüfungen. Dies kann dazu führen, dass:
- Denial of Service wenn CPUs und Speicher voll ausgelastet sind.
- Nachgelagerte Ausfälle Kaskadierung über die verteilte Infrastruktur.
- Versagen von Sicherheitsscannern unter Ressourcenbelastung, wodurch blinde Flecken entstehen. Abnormale AI
- Ausnutzung von Parsing-Fehlern, einschließlich der Umgehung symbolischer Links und des Missbrauchs von Pfaden.
Somit ist Zip of Death immer noch eine relevante Bedrohung für unternehmenskritische und automatisierungszentrierte Systeme.
Demonstration: Wie ein Zip of Death aussieht
Angriffsbeispiel 1: Einfache Erstellung eines Todeszaubers
Im Folgenden finden Sie ein einfaches Beispiel, bei dem verschachtelte Archive erstellt werden, bei denen jede Ebene die Dekomprimierungsgröße exponentiell erhöht.
bash
1TP5Generate base data dd if=/dev/zero of=payload.bin bs=1M count=100
Komprimieren rekursivzip Schicht1.zip Nutzlast.bin
zip schicht2.zip schicht1.zip zip schicht3.zip schicht2.zip`
Diese letzte schicht3.zip mag nur wenige Kilobyte groß sein, aber eine naive Dekomprimierung könnte zu einem hohen Festplatten- und Speicherverbrauch führen.
Angriffsbeispiel 2: Tiefe Verschachtelung zur Umgehung von Shallow Checks
Angreifer betten häufig verschachtelte Zip-Dateien in Verzeichnisse ein, um einfache Größenprüfungen zu umgehen:
bash
mkdir nestedcp layer3.zip nested/ zip final.zip nested
Einige naive Prüfungen betrachten nur die final.zip komprimierte Größe, nicht verschachteltes Aufblähungspotenzial.
Angriffsbeispiel 3: CI/CD-Dekompressionsbombenauslöser
In CI-Umgebungen:
yaml
#Example snippet in .gitlab-ci.yml before_script:
- unzip artifact.zip -d /tmp/build`
Wenn artefakt.zip ein Zip of Death ist, kann der Build-Agent abstürzen oder die Pipeline kann aufgrund erschöpfter Ressourcen auf unbestimmte Zeit hängen bleiben.
Angriffsbeispiel 4: Missbrauch der E-Mail-Gateway-Dekomprimierung
E-Mail-Sicherheitsprodukte entpacken häufig Anhänge zur Inhaltskontrolle:
Text
Anhang: promo.zip (75 KB)
Wenn die dekomprimierte Größe sehr groß ist, kann die Scan-Engine zusammenbrechen, was zu einer verzögerten oder blockierten Postzustellung führt.
Angriffsbeispiel 5: Ausnutzung der ZIP-Parsing-Schwachstelle (PickleScan-Absturz)
In einem Advisory aus dem Jahr 2025 wurde aufgedeckt, wie missgebildete ZIP-Header Scanning-Tools zum Absturz bringen können - und zwar nicht durch die Erschöpfung von Ressourcen, sondern durch Parsing-Inkonsistenzen (die Fehler wie BadZipFile auslösen). GitHub
python
with zipfile.ZipFile('malformed.zip') as z: z.open('weird_header')
Dadurch können Qualitätskontrollen umgangen und automatisierte Scansysteme gestört werden.
Verteidigungsstrategien gegen Zip of Death
Die Entschärfung von Zip-of-Death-Angriffen erfordert mehrere sich überschneidende Kontrollen weil das Grundproblem ein funktionelles ist (die Dekomprimierung selbst) und nicht ein Fehler in einem einzelnen Programm.
Verteidigungsstrategie 1: Schätzung der Größe vor der Dekompression
Überprüfen Sie die erwartete unkomprimierte Gesamtgröße vor der Extraktion.
python
import zipfile with zipfile.ZipFile("upload.zip") as z: total = sum(info.file_size for info in z.infolist())if total > 1_000_000_000: # ~1GB raise Exception("Archiv zu groß")
Dies hilft, eine katastrophale Ausdehnung zu verhindern.
Verteidigungsstrategie 2: Begrenzung der rekursiven Tiefe
Verfolgen und begrenzen Sie, wie tief verschachtelte Archive gehen können.
python
def safe_extract(zf, depth=0):
wenn Tiefe > 3:
raise Exception("Zu viele verschachtelte Archive")
for info in zf.infolist():
if info.filename.endswith('.zip'):
mit zf.open(info.filename) as nested:
safe_extract(zipfile.ZipFile(nested), Tiefe+1)
Verteidigungsstrategie 3: Ressourcen-Sandboxing
Führen Sie die Dekomprimierung in isolierten Kerneln oder Containern mit festen Quotas durch, um eine Beeinträchtigung der Systemdienste zu vermeiden:
bash
docker run --memory=512m --cpus=1 unzip image.zip
Selbst wenn das Archiv versucht, Ressourcen zu verbrauchen, ist der Prozess begrenzt.
Verteidigungsstrategie 4: Streaming-Extraktion mit Abbruchbedingungen
Anstelle der vollständigen Extraktion sollten Sie die Lesevorgänge in Blöcken verarbeiten und frühzeitig abbrechen:
python
if extracted_bytes > THRESHOLD: abort_extraction()
Dadurch werden unkontrollierte Expansionen frühzeitig gestoppt.
Verteidigungsstrategie 5: Aktualisierung anfälliger Bibliotheken und Tools
Patchen Sie aktiv bekannte Schwachstellen in Dekomprimierungsbibliotheken wie die in 7-Zip (z. B. CVE-2025-11001 und CVE-2025-0411), um Parsing-Exploits zu vermeiden, die Zip-Bomben mit Traversal oder Codeausführung kombinieren. SecurityWeek
A 2025 ZIP-Vergleichstabelle zur Anfälligkeit
Um die aktuelle Bedrohungslandschaft zu strukturieren, hier eine Momentaufnahme der ZIP-bezogenen Risiken für das Jahr 2025:
| Kategorie Bedrohung | Beispiel | Auswirkungen |
|---|---|---|
| Dekompressionsbombe | Klassisches rekursives Archiv | Ressourcenerschöpfung, DoS |
| Parsing-Exploit | CVE-2025-46730 | Crash-Tools / Diskette füllen |
| ZIP-Parser-Fehler | CVE-2025-11001 | Beliebiges Schreiben von Dateien |
| MotW Umgehung | CVE-2025-0411 | Umgehung von Sicherheitskontrollen |
Penligent.ai: Automatisierte Erkennung von Archivrisiken
Zip of Death und ähnliche Angriffe auf Archive sind mit statischen Scans allein nicht leicht zu finden, da sie Folgendes ausnutzen Protokollsemantik und Laufzeitverhaltenund nicht nur bekannte Byte-Signaturen. Dies ist der Punkt, an dem moderne automatisierte Penetrationsplattformen wie Penligent.ai glänzen.
Penligent.ai nutzt KI-gesteuertes intelligentes Fuzzing und die Generierung von Szenarien zum Testen:
- Upload-Endpunkte bei unterschiedlichen Archivgrößen und verschachtelten Strukturen
- Backend-Dekomprimierungslogik zur Durchsetzung von Ressourcen
- Pfade zum Parsen von Archiven mit symbolischen Links und speziellen Kopfzeilen
- Code zur Fehlerbehandlung, der gefährliche Eingaben stillschweigend akzeptieren könnte
Durch die Simulation echter Angriffsmuster wie rekursive Verschachtelung oder Angriffe mit fehlerhaften Headern, Penligent.ai hilft Ingenieuren, Risiken zu erkennen und zu priorisieren, die von herkömmlichen Scannern übersehen werden.
In Microservice- oder Cloud-nativen Umgebungen, in denen die Dateiverarbeitung von vielen unabhängigen Komponenten durchgeführt wird, ist diese Art von kontinuierlichen, automatisierten Tests unerlässlich, um Lücken zu finden, bevor Angreifer sie finden.
Fortgeschrittene Trends bei Zip-Attacken im Jahr 2025
Abgesehen von den klassischen Dekompressionsbomben sah 2025 differenziertere ZIP-basierte Ausbeutung:
- ZIP-Parsing-Fehler, die in kombinierte Angriffe (Ressourcenerschöpfung + Codeausführung)
- Homoglyph-gefälschte Archiv-Erweiterungen, die Sicherheitsfilter umgehen
- Ausnutzung verschachtelter Archive zur Umgehung der Vorschriften über die "maximale Archivgröße"
- Missbrauch der Behandlung symbolischer Links zur Umgehung von Verzeichnissen
Diese Muster zeigen, dass die vereinfachte Sichtweise von Zip-Bomben als DOS-Auslöser überholt ist; moderne Bedrohungen mischen Logikfehler bei Ressourcenangriffen.
Rechtliche und ethische Erwägungen
Die Erstellung von Zip-Bomben selbst ist nicht immer illegal - Sicherheitsforscher verwenden sie oft als Testfälle. Ihre Verteilung in böswilliger Absicht (zur Störung oder für unbefugten Zugriff) kann jedoch unter folgende Bestimmungen fallen Computer-Missbrauch und DoS-Gesetzewie z. B. das US-amerikanische CFAA oder ähnliche Gesetze in anderen Rechtsordnungen. LegalClarity
Dies unterstreicht, wie wichtig es ist, verantwortungsvoll mit defensiver Forschung umzugehen und dafür zu sorgen, dass Konzeptnachweise in sicheren Laborumgebungen bleiben.
Schlussfolgerung: Zip of Death ist kein Relikt - es ist ein ständiges Risiko
Selbst im Jahr 2025, inmitten fortschrittlicher Malware und KI-gestützter Bedrohungen, bleibt der "Zip of Death" relevant, denn er nutzt die eine Grundannahme beim Softwareentwurf: dass die Dekompression sicher ist.
Moderne Automatisierungssysteme - von E-Mail-Gateways bis hin zu Cloud-Pipelines - vertrauen auf komprimierte Dateien ohne angemessene Sicherheitsprüfungen. Wenn diese Annahmen fehlschlagen, können ganze Dienste offline gehen.
Durch die Kombination proaktiver Schutzmaßnahmen, die Aktualisierung von Bibliotheken gegen Parsing-Schwachstellen und den Einsatz von Tools wie Penligent.ai für kontinuierliche simulierte Angriffe können Sicherheitsteams Zip-of-Death-Angriffe stoppen, bevor sie ihre Systeme anhalten.
