Soubory VHD a VHDX
Formát souborů VHD (Virtual Hard Disk), který byl původně představen s aplikací Connectix Virtual PC, dokáže uložit obsah jednotky pevného disku. Nakonec tento formát obrazu disku převzala i technologie Microsoft Hyper-V. Systém Windows 7 a novější systémy obsahují možnost ručního připojení souborů VHD. Počínaje systémem Windows 8 může uživatel připojit VHD pouhým poklepáním na soubor. Po připojení se obraz disku VHD jeví systému Windows jako běžný pevný disk, který je fyzicky připojen k systému. Obrazy VHDX (Virtual Hard Disk v2) jsou funkčně ekvivalentní obrazům VHD, ale obsahují modernější funkce, například podporu větších velikostí a změnu velikosti disku.
VHD/VHDX a poškození souborového systému
Po fuzzingu obrazů souborového systému pomocí BFF se mi podařilo najít několik různých způsobů, jak způsobit pád systému Windows v důsledku připojení poškozeného disku. Zřejmým vektorem útoku bylo fyzické připojení paměťového zařízení USB s poškozeným souborovým systémem. Při fyzickém přístupu k systému je však mnoho konceptů zabezpečení popřeno. Soubory VHD a VHDX eliminují požadavek na fyzický přístup k systému oběti. Pokud uživatel jednoduše dvakrát klikne na soubor VHD nebo VHDX, který obsahuje speciálně vytvořený souborový systém, riskuje zhroucení systému Windows nebo ještě něco horšího, jak je znázorněno níže.
Značka webu
Značka webu (MOTW) byla zavedena v systému Windows XP SP2 a umožnila systému Windows označit soubory v místním souborovém systému informací o bezpečnostní zóně aplikace Internet Explorer, ze které soubory pocházejí. Tato funkce MOTW se vyvíjela tak, aby zvládala stále více typů souborů a scénářů. Opakujícím se tématem je, že soubory, které pocházejí z internetu (např. webová stránka nebo e-mail), mohou být nebezpečné, a proto by se s nimi mělo zacházet opatrněji.
Například počínaje sadou Microsoft Office 2010 se dokumenty označené symbolem MOTW, který označuje, že pocházejí z internetu, otevírají v chráněném zobrazení sady Microsoft Office. Dokumenty v chráněném zobrazení jsou omezeny v tom, co mohou dělat, čímž se zmenšuje plocha útoku potenciálně nebezpečných dokumentů. Zde je uvedeno, co může uživatel vidět při otevření dokumentu v Chráněném zobrazení:
Počínaje systémem Windows 10 omezuje funkce Windows Defender SmartScreen spouštění určitých typů souborů, pokud pocházejí z internetu. Zde je uvedeno, co může uživatel vidět, když SmartScreen zablokuje nebezpečný spustitelný soubor:
Jak systém Windows pozná, že soubor pochází z internetu? Používá značku MOTW přiřazenou k danému souboru. Pokud je k extrakci obsahu souboru ZIP použit Průzkumník Windows nebo jiné kompatibilní nástroje ZIP, každý soubor obsažený v souboru ZIP nese MOTW kontejneru souboru ZIP.
Soubory VHD/VHDX a MOTW
Z hlediska uživatelského prostředí mohou mít počínaje systémem Windows 8 soubory VHD a VHDX podobnou funkci jako soubory ZIP. To znamená, že uživatel poklepáním na soubor zobrazí jeho obsah v Průzkumníku Windows. Důležitým rozdílem je, že soubory obsažené v kontejneru VHD nebo VHDX si nezachovávají MOTW kontejnerového souboru.
Co to znamená z pohledu koncového uživatele? Jakýkoli soubor obsažený v souboru VHD nebo VHDX nezíská stejnou ochranu, jakou systém Windows poskytuje proti souborům pocházejícím z internetu. Abych pomohl pochopit, co to znamená, vytvořil jsem video, které demonstruje několik rozdílů mezi souborem s označením MOTW (v souboru ZIP) a souborem, který označení MOTW neobsahuje (v souboru VHD):
Soubory VHD/VHDX a antivirový program
Nenašel jsem žádné důkazy o tom, že by některý v současnosti používaný antivirový software skenoval soubory obsažené v souboru VHD nebo VHDX. Pro ty, kteří provozují podnik, však absence možnosti skenovat tyto soubory ponechává slepou skvrnu pro určité soubory, dokud nedorazí do koncového bodu. Pokud obsah souborů VHD a VHDX není skenován produkty pro zabezpečení e-mailových a webových bran, nemají tyto produkty naději na odhalení malwaru obsaženého v souborech VHD nebo VHDX.
Vytvořil jsem soubor VHD, který obsahuje testovací soubor EICAR proti malwaru, a nahrál jsem tento soubor do služby VirusTotal. Zde jsou výsledky:
Neexistuje žádný důkaz, že by některý ze skenerů nakonfigurovaných ve VirusTotal skenoval obsah souboru VHD.
Soubory ISO a IMG
Šíření malwaru prostřednictvím souborů ISO se již v přírodě děje. Stejně jako soubory VHD a VHDX, ani obsah souborů ISO nebo IMG nenese MOTW obsahujícího souboru. A stejně jako soubory VHD a VHDX lze počínaje systémem Windows 8 soubory ISO a IMG otevřít dvojitým kliknutím. Na rozdíl od souborů VHD a VHDX je však větší šance, že nasazený antivirový produkt odhalí malware obsažený v souboru ISO nebo IMG.
Provedl jsem stejný test EICAR jako výše uvedený test pomocí VirusTotal, ale tentokrát byl soubor eicar.com odhalen v souboru ISO. Zde jsou výsledky:
Ačkoli tyto výsledky nejsou nijak skvělé, existuje alespoň nějaký důkaz, že některé bezpečnostní produkty obsah souboru ISO prověří.
Závěr a doporučení
Soubory VHD a VHDX mohou být nebezpečné. Vzhledem ke kombinaci analýzy souborového systému na úrovni jádra a také chybějícímu označení MOTW pro jejich obsah se tím, že se soubory VHD nebo VHDX dostanou do koncových bodů, zvyšuje riziko představované pro tyto systémy. Následující strategie mohou pomoci toto riziko minimalizovat:
- Zablokovat soubory VHD, VHDX, IMG a ISO u e-mailových bran.
- Zrušit registraci přípon souborů VHD, VHDX, IMG a ISO v Průzkumníku Microsoft Windows.
- Omezit soubory VHD, VHDX, IMG a ISO u webových bran. (Existují legitimní důvody pro stahování těchto souborů, proto zajistěte, aby případná omezení nebránila oprávněným obchodním potřebám)
.