O que realmente é um Zip of Death (bomba de descompressão)

A CEP da morte-também conhecido como bomba zip ou bomba de descompressão-é um arquivo malicioso criado para explorar o comportamento fundamental dos formatos de compactação. Quando um arquivo desse tipo é descompactado, ele pode se expandir para um tamanho enorme, sobrecarregando os recursos do sistema e paralisando processos ou até mesmo servidores inteiros. O que torna esse ataque sutil e ainda relevante hoje é que ele abusa da funcionalidade legítimadescompressão. Os sistemas modernos esperam que os arquivos compactados sejam inofensivos, mas uma bomba zip consome silenciosamente a CPU, a memória, o armazenamento ou a capacidade de E/S quando descompactada.

Diferentemente do malware que executa códigos ou rouba dados, o Zip of Death é um arma de negação de serviço incorporado em um arquivo. Seu objetivo não é o roubo direto, mas esgotamento de recursos e interrupção de serviçosA maioria das vezes cria aberturas para exploração adicional ou simplesmente prejudica os fluxos de trabalho automatizados.

Como funciona o Zip of Death: A mecânica técnica

O Zip of Death clássico aproveita compressão recursivaArquivos compactados: arquivos aninhados compactam conjuntos de dados cada vez maiores em arquivos enganosamente pequenos. Um exemplo histórico famoso é o arquivo "42.zip": cerca de 42 KB de tamanho compactado, mas descompactado em mais de 4,5 petabytes de dados.

Isso acontece porque o design do formato ZIP permite referências a conteúdo grande que só é materializado durante a descompactação. O processo de descompactação aloca memória e disco para todos os dados antes de passar o controle de volta para o aplicativo de chamada, de modo que os sistemas que não impõem limites rapidamente ficam sem recursos.

Em ambientes modernos - pipelines de nuvem, microsserviços, sistemas de CI/CD - essa explosão de recursos pode derrubar não apenas um único programa, mas clusters inteiros, pois os serviços falham e reiniciam repetidamente.

Incidentes de segurança reais de 2025 envolvendo o manuseio de arquivos Zip ou de arquivos

Embora os ataques clássicos de bombas de decomposição sejam difíceis de rastrear na natureza (já que os invasores geralmente os combinam com outras táticas), 2025 trouxe várias vulnerabilidades de alto impacto e padrões de exploração em contextos de ZIP e descompressão:

CVE-2025-46730: manipulação inadequada de dados altamente compactados

Essa vulnerabilidade, identificada no MobSF (Mobile Security Framework), permite que um arquivo do tipo zip-of-death esgote o espaço em disco do servidor porque o aplicativo não verifica o tamanho total não compactado antes da extração. Um ZIP criado de 12 a 15 MB pode se expandir para vários gigabytes após a descompressão, resultando em negação de serviço do servidor. Feedly

Os invasores poderiam atacar os endpoints de upload de arquivos sem acionar as assinaturas tradicionais de malware, simplesmente usando a descompressão para travar os serviços e interromper os fluxos de trabalho de teste de segurança móvel.

Vulnerabilidades do 7-Zip exploradas ativamente (CVE-2025-11001 e CVE-2025-0411)

As bombas Zip se tornaram mais perigosas em 2025, pois os invasores aproveitaram falhas em ferramentas de descompressão amplamente usadas, como 7-Zip. As vulnerabilidades rastreadas como CVE-2025-11001 e CVE-2025-11002 envolviam o tratamento inadequado de links simbólicos em arquivos ZIP, permitindo que arquivos criados gravassem arquivos fora dos diretórios pretendidos e potencialmente executassem códigos em sistemas Windows. Ajuda à segurança da rede

Outra falha relacionada, CVE-2025-0411O problema de segurança do Windows, que envolvia um desvio do Mark-of-the-Web (MoTW), permitia que os arquivos aninhados evitassem as verificações de segurança do Windows quando extraídos. NHS England Digital

Ambos mostram uma tendência real de 2025: combinando o abuso de descompressão com a mecânica de passagem de caminho e escalonamento de privilégiostransformando efetivamente o Zip of Death em uma ameaça mais séria do que o esgotamento tradicional de recursos.

Por que o CEP da morte ainda é importante em 2025

Muitos profissionais de segurança presumem que as zip bombs são um truque antigo, detectado por ferramentas antivírus ou irrelevante em ambientes de nuvem modernos. Mas, como demonstram os incidentes recentes, o perigo real está em onde e como a descompressão é invocada. Os sistemas que processam automaticamente arquivos - gateways de e-mail, executores de CI/CD, processadores de objetos na nuvem e gerenciadores de dependências - muitas vezes não têm verificações adequadas. Isso pode resultar em:

• Negação de serviço à medida que as CPUs e a memória atingem o limite máximo.
• Interrupções no downstream em cascata na infraestrutura distribuída.
• Falha nas ferramentas de varredura de segurança sob carga de recursos, criando pontos cegos. IA anormal
• Exploração de erros de análiseincluindo a passagem de links simbólicos e o uso indevido de caminhos.

Portanto, o Zip of Death ainda é uma ameaça relevante em sistemas de missão crítica e centrados em automação.

Demonstração: Como é um Zip da Morte

Exemplo de ataque 1: criação simples do Zip of Death

Abaixo está um exemplo simples que cria arquivos aninhados em que cada camada aumenta exponencialmente o tamanho da descompactação.

bash

`#Gerar dados básicos dd if=/dev/zero of=payload.bin bs=1M count=100

Compactar recursivamentezip layer1.zip payload.bin

zip layer2.zip layer1.zip zip layer3.zip layer2.zip`

Esse final layer3.zip pode ser de apenas alguns kilobytes, mas descompactá-lo ingenuamente pode resultar em grande consumo de disco e memória.

Exemplo de ataque 2: Aninhamento profundo para contornar verificações superficiais

Os invasores geralmente incorporam zips aninhados dentro de diretórios para evitar verificações simples de tamanho:

bash

mkdir nestedcp layer3.zip nested/ zip final.zip nested

Algumas verificações ingênuas analisam apenas final.zip tamanho compactado, não potencial de inflar aninhado.

Exemplo de ataque 3: gatilho de bomba de descompressão de CI/CD

Em ambientes de CI:

yaml

`#Exemplo de snippet em .gitlab-ci.yml before_script:

• descompactar artefato.zip -d /tmp/build`

Se artefato.zip é um Zip of Death, o agente de compilação pode falhar ou o pipeline pode travar indefinidamente devido à exaustão de recursos.

Exemplo de ataque 4: Abuso de descompressão do gateway de e-mail

Os produtos de segurança de correio eletrônico geralmente descompactam os anexos para inspeção de conteúdo:

texto

Anexo: promo.zip (75 KB)

Se o tamanho descompactado for muito grande, o mecanismo de varredura poderá ser bloqueado, causando atraso ou bloqueio na entrega de e-mails.

Exemplo de ataque 5: Exploração da vulnerabilidade de análise de ZIP (falha do PickleScan)

Um aviso de 2025 revelou como cabeçalhos ZIP malformados podem causar falhas nas ferramentas de varredura, não por exaustão de recursos, mas por inconsistências de análise (acionando erros como BadZipFile). GitHub

python

with zipfile.ZipFile('malformed.zip') as z: z.open('weird_header')

Isso pode contornar as verificações de qualidade e interromper os sistemas de escaneamento automatizados.

Estratégias de defesa contra o Zip of Death

A atenuação dos ataques do Zip of Death requer vários controles sobrepostos porque o problema principal é funcional (a descompressão em si), e não um bug em um único programa.

Estratégia de defesa 1: estimativa de tamanho pré-descompressão

Verifique o tamanho total não compactado esperado antes da extração.

python

import zipfile with zipfile.ZipFile("upload.zip") as z: total = sum(info.file_size for info in z.infolist())if total > 1_000_000_000: # ~1GB raise Exception("Archive too large")

Isso ajuda a evitar uma expansão catastrófica.

Estratégia de defesa 2: Limitar a profundidade recursiva

Rastrear e limitar a profundidade dos arquivos aninhados.

python

def safe_extract(zf, depth=0):

se profundidade > 3:

raise Exception("Too many nested archives")

para info em zf.infolist():

se info.filename.endswith('.zip'):

com zf.open(info.filename) como aninhado:

safe_extract(zipfile.ZipFile(nested), depth+1)

Estratégia de defesa 3: Sandboxing de recursos

Execute a descompressão em kernels isolados ou contêineres com cotas rígidas para evitar afetar os serviços do sistema:

bash

docker run --memory=512m --cpus=1 unzip image.zip

Mesmo que o arquivo tente consumir recursos, o processo é limitado.

Estratégia de defesa 4: extração de fluxo contínuo com condições de interrupção

Em vez de extração completa, manipule leituras em pedaços e aborte antecipadamente:

python

se extracted_bytes > THRESHOLD: abort_extraction()

Isso interrompe antecipadamente as expansões descontroladas.

Estratégia de defesa 5: Atualizar bibliotecas e ferramentas vulneráveis

Corrija ativamente as vulnerabilidades conhecidas da biblioteca de descompressão, como as do 7-Zip (por exemplo, CVE-2025-11001 e CVE-2025-0411), para evitar explorações de análise que combinam bombas de zip com travessia ou execução de código. SecurityWeek

Uma tabela de comparação de vulnerabilidade do ZIP 2025

Para estruturar o cenário atual de ameaças, aqui está um resumo dos riscos relacionados ao ZIP vistos em 2025:

Penligent.ai: Detecção automatizada de riscos de arquivamento

Os ataques ao Zip of Death e a arquivos semelhantes não são fáceis de encontrar apenas por meio de varredura estática, porque eles exploram semântica do protocolo e comportamento em tempo de execuçãoe não apenas assinaturas de bytes conhecidas. É nesse ponto que as plataformas modernas de penetração automatizada, como Penligent.ai brilho.

Penligent.ai usa fuzzing inteligente orientado por IA e geração de cenários para testar:

• Upload de pontos de extremidade em tamanhos de arquivos variados e estruturas aninhadas
• Lógica de descompressão de back-end para aplicação de recursos
• Caminhos de análise de arquivos com links simbólicos e cabeçalhos especiais
• Código de tratamento de erros que pode aceitar silenciosamente entradas perigosas

Simulando padrões de ataque reais, como aninhamento recursivo ou ataques de cabeçalho malformado, Penligent.ai ajuda os engenheiros a detectar e priorizar os riscos que os scanners tradicionais não detectam.

Em ambientes de microsserviços ou nativos da nuvem, em que o tratamento de arquivos é feito por muitos componentes independentes, esse tipo de teste contínuo e automatizado é essencial para encontrar brechas antes que os invasores o façam.

Tendências do Advanced Zip Attack em 2025

Além das bombas de descompressão clássicas, 2025 viu exploração mais diferenciada baseada em ZIP:

• Falhas de análise de ZIP usadas em ataques combinados (exaustão de recursos + execução de código)
• Extensões de arquivo falsificadas por homóglifos que contornam os filtros de segurança
• Exploração de arquivos aninhados para burlar as regras de "tamanho máximo de arquivo"
• Abuso do manuseio de links simbólicos para atravessar diretórios

Esses padrões mostram que a visão simplista das bombas zip como acionadores do DOS está desatualizada; as ameaças modernas misturam falhas lógicas com ataques a recursos.

Considerações legais e éticas

A criação de bombas zip em si nem sempre é ilegal - os pesquisadores de segurança costumam usá-las como casos de teste. No entanto, distribuí-las com intenção maliciosa (para perturbação ou acesso não autorizado) pode se enquadrar em legislação sobre uso indevido de computadores e DoScomo a CFAA dos EUA ou estatutos semelhantes em outras jurisdições. LegalClarity

Isso ressalta a importância de lidar com pesquisas defensivas de forma responsável e garantir que as provas de conceito permaneçam em ambientes laboratoriais seguros.

Conclusão: O CEP da morte não é uma relíquia - é um risco persistente

Mesmo em 2025, em meio a malware avançado e ameaças habilitadas para IA, o Zip of Death continua relevante porque explora uma suposição fundamental no design de software: que a descompressão é segura.

A automação moderna - de gateways de e-mail a pipelines de nuvem - confia em arquivos compactados sem verificações de integridade adequadas. Quando essas suposições falham, serviços inteiros podem ficar off-line.

Combinando defesas proativas, mantendo as bibliotecas corrigidas contra vulnerabilidades de análise e aproveitando ferramentas como Penligent.ai Para ataques simulados contínuos, as equipes de segurança podem interromper ataques Zip of Death antes que eles interrompam seus sistemas.