Microsoft, Zombie

Microsoft und Zombie ZIP: Neue Angriffswelle bedroht Datenbanken

15.03.2026 - 00:00:21 | boerse-global.de

Zwei kritische Schwachstellen im MÀrz 2026 gefÀhrden Datenbanken und umgehen Virenscanner. Die Branche reagiert mit integrierten Scans in Backup-Systemen und warnt vor kombinierten Angriffen.

Microsoft und Zombie ZIP: Neue Angriffswelle bedroht Datenbanken - Foto: ĂŒber boerse-global.de

Schwere SicherheitslĂŒcken in Microsoft SQL Server und ein neuartiger ZIP-Exploit umgehen fast alle Virenscanner. Die IT-Sicherheitsbranche warnt vor einer perfiden Kombination aus Tarnkappen-Malware und direkten Datenbank-Angriffen.

Zwischen dem 11. und 12. MĂ€rz 2026 offenbarten sich zwei kritische Schwachstellen, die das Fundament traditioneller IT-Sicherheit erschĂŒttern. WĂ€hrend Microsoft eine Zero-Day-LĂŒcke in seinem SQL Server schließt, demonstriert der sogenannte Zombie ZIP-Exploit, wie sich Schadsoftware an 98 Prozent aller Virenscanner vorbeischmuggeln lĂ€sst. Die Branche reagiert mit integrierten Scannern fĂŒr Backups und KI-Infrastrukturen.

Anzeige

Angesichts solch raffinierter Angriffsmethoden stehen viele Verantwortliche vor der Frage, wie sie ihre Infrastruktur ohne explodierende Kosten absichern können. Dieser Experten-Report enthĂŒllt effektive Strategien fĂŒr mittelstĂ€ndische Unternehmen, um sich ohne Budget-Explosion gegen Cyberkriminelle zu wappnen. Effektive Sicherheits-Strategien im Experten-Report entdecken

Kritische LĂŒcke: Angreifer ĂŒbernehmen SQL Server komplett

Am 11. MĂ€rz patchte Microsoft im Rahmen seiner monatlichen Sicherheitsupdates eine schwerwiegende Schwachstelle im SQL Server. Die als CVE-2026-21262 gefĂŒhrte LĂŒcke hat einen CVSS-Score von 8,8 von 10 und ermöglicht Angreifern die vollstĂ€ndige Übernahme der Datenbank.

Das Problem liegt in einer fehlerhaften Zugriffskontrolle. Ein Angreifer, der bereits minimalen Zugriff im Netzwerk hat, kann speziell prĂ€parierte SQL-Anfragen senden. Das System umgeht daraufhin die vorgesehenen Berechtigungsgrenzen – ohne weitere Interaktion.

Der Erfolg ist fatal: Der Angreifer erhĂ€lt still und leise sysadmin-Rechte, also volle Administrator-Kontrolle. Sensible DatensĂ€tze können gelesen, manipuliert oder gelöscht werden. Automatisierte Datenbank-Jobs und Kernkonfigurationen lassen sich Ă€ndern. Die Datenbank wird so zur Basis fĂŒr weitere Angriffe im Netzwerk. Besonders tĂŒckisch: Diese Rechteausweitung geschieht laut Sicherheitsanalysten oft unbemerkt, da Standard-Überwachungstools sie nicht erfassen.

Zombie ZIP: Fast alle Virenscanner versagen

Parallel untergrÀbt eine neue Angriffstechnik die Malware-Erkennung an der Netzwerkgrenze. Das CERT Coordination Center warnte am 12. MÀrz vor dem Proof-of-Concept-Exploit Zombie ZIP (CVE-2026-0866). Er tarnt Schadcode in ZIP-Archiven und umgeht damit fast alle gÀngigen Antiviren- und Endpoint-Detection-Systeme.

Ein Forscher von Bombadil Systems manipulierte dafĂŒr den Archiv-Header. Die ZIP-Datei gibt vor, unkomprimiert (STORED) zu sein, enthĂ€lt aber tatsĂ€chlich mit DEFLATE komprimierte Schadsoftware. Herkömmliche Scanner prĂŒfen die Datei daraufhin als unkomprimierte Daten – und durchsuchen nur komprimiertes Rauschen, nicht die eigentlichen Schadsignaturen.

Tests auf der Plattform VirusTotal mit 51 Scan-Engines zeigten eine 98-prozentige Fehlerquote. Nur ein Anbieter erkannte die Bedrohung. Standard-Tools wie WinRAR oder 7-Zip können die fehlerhaften Archive nicht öffnen. Der Exploit enthĂ€lt jedoch einen eigenen Loader, der die versteckte Nutzlast extrahiert und ausfĂŒhrt. Das CERT rĂ€t Herstellern, ihre Engines so zu aktualisieren, dass sie die Komprimierungsmethode gegen den tatsĂ€chlichen Inhalt validieren – und sich nicht auf Metadaten verlassen.

Anzeige

Die rasanten Entwicklungen bei Angriffstechniken und die neue Gesetzgebung zur KI-Regulierung fordern von der GeschĂ€ftsfĂŒhrung heute ein tieferes VerstĂ€ndnis der IT-Sicherheit. Dieser kostenlose Leitfaden zeigt praxisnah auf, was GeschĂ€ftsfĂŒhrer ĂŒber Cyber Security 2024 und aktuelle Schutzmaßnahmen wissen mĂŒssen. Kostenlosen Cyber-Security-Leitfaden jetzt herunterladen

Branchenreaktion: Scanner wandern in die Datensicherung

Als Reaktion auf die raffinierteren Angriffsmethoden integrieren Anbieter wie Cohesity tiefgreifende Sicherheitskontrollen direkt in Backup- und Storage-Umgebungen. Am 11. MĂ€rz kĂŒndigte das Unternehmen verbesserte Scans zum Schutz von Datenbanken, KI-Infrastrukturen und gesicherten Daten an.

Die neue FunktionalitĂ€t bindet die Malware-Erkennung direkt in die Storage-Appliance ein. So können Unternehmen versteckte Bedrohungen in isolierten Umgebungen identifizieren und sicherstellen, dass Wiederherstellungspunkte sauber sind, bevor sie Datenbanken zurĂŒckĂŒberspielen.

Besonderes Augenmerk liegt auf KI-Agenten. Kompromittierte KI-Systeme können immense SchĂ€den in Datenbanken anrichten, wenn ihr Zugriff nicht streng ĂŒberwacht wird. Durch immutable Snapshots von KI-Umgebungen soll die Plattform die Wiederherstellung synchronisierter, malware-freier Datenbankversionen ermöglichen.

Analyse: Die Evolution der Tarnkappen-Bedrohungen

Die Ereignisse zeigen eine klare Entwicklung: Cyberkriminelle umgehen etablierte Sicherheitsarchitekturen gezielt. Statische Malware-Signaturdatenbanken werden zunehmend wirkungslos, wenn Angreifer strukturelle LĂŒcken wie Zombie ZIP finden. Schafft die Schadsoftware es erst einmal ins Netzwerk, bieten Schwachstellen wie die im SQL Server die Hebelwirkung fĂŒr den Zugriff auf gesamte Datenbanklandschaften.

Sicherheitsanalysten warnen vor dem kombinierten Risiko aus Tarnkappen-Malware und Rechteausweitung. Kann eine Nutzlast als korrumpiertes Archiv die erste Verteidigungslinie passieren, kann sie anschließend Skripte zur Ausnutzung interner DatenbanklĂŒcken absetzen. Erforderlich ist daher eine tiefgestaffelte Verteidigung. Die Malware-Erkennung darf nicht an der Netzwerkgrenze enden, sondern muss ruhende Daten, Backup-Archive und interne Datenbankabfragen kontinuierlich ĂŒberwachen.

Historisch betrachtet offenbart Zombie ZIP ein systemisches Problem. Das CERT wies darauf hin, dass der neue Exploit einer 22 Jahre alten Schwachstelle in frĂŒher Antivirensoftware gleicht. Grundlegende Annahmen ĂŒber Datei-Metadaten machen moderne Scan-Engines demnach weiterhin anfĂ€llig fĂŒr alte Angriffskonzepte.

Ausblick: Vom Signatur-Abgleich zur Verhaltensanalyse

Die IT-Sicherheitsbranche steht unter Druck. Die Art und Weise, wie Scan-Engines Archivdaten verarbeiten und Datenbankinteraktionen ĂŒberwachen, muss ĂŒberholt werden. Anbieter von Endpoint Detection and Response (EDR) werden voraussichtlich schnell Updates ausrollen, die Dateiinhalte prĂŒfen – und sich nicht auf manipulierte Header verlassen.

FĂŒr Datenbankadministratoren ist die oberste PrioritĂ€t klar: Die MĂ€rz-2026-Updates fĂŒr Microsoft SQL Server mĂŒssen umgehend installiert werden, um das Einfallstor zu schließen. Langfristig erfordert die Lage jedoch einen operativen Wandel hin zu Zero-Trust-Architekturen. Dabei wird jeder Datenbankzugriff kontinuierlich authentifiziert und anomale Abfragen in Echtzeit markiert.

Mit der zunehmenden Integration von KI-Systemen in Unternehmensdatenbanken dĂŒrfte eingebettete Malware-Erkennung auf Appliance-Ebene zum Standard werden. Unternehmen mĂŒssen sich auf eine Zukunft einstellen, in der die Bedrohungserkennung weniger vom Abgleich bekannter Signaturen abhĂ€ngt. Stattdessen wird die strukturelle IntegritĂ€t und das Verhalten jeder Datei und jedes Nutzers im Umgang mit kritischen Daten zur neuen Verteidigungslinie.

So schÀtzen die Börsenprofis Aktien ein!

<b>So schÀtzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlĂ€ssliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
FĂŒr. Immer. Kostenlos.
de | boerse | 68681226 |