Archivos VHD y VHDX
El formato de archivo VHD (disco duro virtual), introducido originalmente con Connectix Virtual PC, puede almacenar el contenido de una unidad de disco duro. Con el tiempo, Microsoft Hyper-V adoptó este formato de imagen de disco. Windows 7 y los sistemas más recientes incluyen la capacidad de montar manualmente los archivos VHD. A partir de Windows 8, un usuario puede montar un VHD simplemente haciendo doble clic en el archivo. Una vez montada, una imagen de disco VHD aparece ante Windows como un disco duro normal que está conectado físicamente al sistema. Las imágenes VHDX (Virtual Hard Disk v2) son funcionalmente equivalentes a las imágenes VHD, pero incluyen características más modernas, como el soporte para tamaños más grandes y el redimensionamiento del disco.
VHD/VHDX y la corrupción del sistema de archivos
Después de hacer un fuzzing de las imágenes del sistema de archivos con BFF, pude encontrar varias formas diferentes de bloquear Windows como resultado de montar un disco corrupto. Conectar físicamente un dispositivo de almacenamiento masivo USB con un sistema de archivos corrupto era el vector de ataque obvio. Sin embargo, muchos conceptos de seguridad se anulan cuando se permite el acceso físico a un sistema. Los archivos VHD y VHDX eliminan el requisito de acceso físico a un sistema víctima. Si un usuario simplemente hace doble clic en un archivo VHD o VHDX que contiene un sistema de archivos especialmente diseñado, se arriesga a bloquear Windows o algo peor, como se ilustra a continuación.
Mark of the Web
Mark of the Web (MOTW) se introdujo en Windows XP SP2 y permitió a Windows etiquetar archivos en el sistema de archivos local con información sobre la zona de seguridad de Internet Explorer de la que procedían los archivos. Esta característica MOTW ha evolucionado para manejar más y más tipos de archivos y escenarios. El tema recurrente es que los archivos que proceden de Internet (por ejemplo, una página web o un correo electrónico) pueden ser peligrosos y, por lo tanto, deben tratarse con más precaución.
Por ejemplo, a partir de Microsoft Office 2010, los documentos etiquetados con un MOTW que indica que proceden de Internet se abren en la vista protegida de Microsoft Office. Los documentos en la Vista Protegida tienen restringido lo que pueden hacer, reduciendo así la superficie de ataque de los documentos potencialmente peligrosos. Esto es lo que un usuario podría ver al abrir un documento en la Vista Protegida:
A partir de Windows 10, Windows Defender SmartScreen restringe la ejecución de ciertos tipos de archivos si proceden de Internet. Esto es lo que un usuario puede ver cuando SmartScreen bloquea un ejecutable no seguro:
¿Cómo sabe Windows si un archivo se originó en Internet? Utiliza la etiqueta MOTW asociada al archivo en cuestión. Si se utiliza el Explorador de Windows u otras utilidades ZIP compatibles para extraer el contenido de un archivo ZIP, cada archivo contenido dentro de un archivo ZIP lleva el MOTW del contenedor del archivo ZIP.
Archivos VHD/VHDX y MOTW
Desde el punto de vista de la experiencia del usuario, a partir de Windows 8, los archivos VHD y VHDX pueden tener una función similar a los archivos ZIP. Es decir, el usuario hace doble clic en el archivo para mostrar su contenido en el Explorador de Windows. La diferencia importante es que los archivos contenidos dentro de un contenedor VHD o VHDX no conservan el MOTW del archivo contenedor.
¿Qué significa esto desde la perspectiva del usuario final? Cualquier archivo contenido dentro de un archivo VHD o VHDX no recibirá las mismas protecciones que proporciona Windows contra los archivos que se originan en Internet. Para ayudar a entender lo que esto significa, he creado un vídeo que demuestra varias diferencias entre un archivo con etiqueta MOTW (en un ZIP) y uno que no contiene la etiqueta MOTW (en un VHD):
Los archivos VHD/VHDX y el antivirus
No he encontrado ninguna evidencia de que ningún software antivirus desplegado actualmente analice los archivos contenidos en un archivo VHD o VHDX. Sin embargo, para quienes dirigen una empresa, la falta de capacidad para analizar estos archivos deja un punto ciego para ciertos archivos hasta que llegan al punto final. Si el contenido de los archivos VHD y VHDX no es analizado por los productos de seguridad del correo electrónico y de la pasarela web, esos productos no tienen ninguna esperanza de detectar el malware contenido en los archivos VHD o VHDX.
Creé un VHD que contiene el archivo de prueba antimalware EICAR y subí ese archivo a VirusTotal. Aquí están los resultados:
No hay evidencia de que ninguno de los escáneres configurados en VirusTotal haya escaneado el contenido de un archivo VHD.
Archivos ISO e IMG
La propagación de malware a través de archivos ISO ya está ocurriendo en la naturaleza. Al igual que los archivos VHD y VHDX, el contenido de los archivos ISO o IMG no lleva el MOTW del archivo que los contiene. Y al igual que los archivos VHD y VHDX, a partir de Windows 8, los archivos ISO e IMG se pueden abrir con un doble clic. Sin embargo, a diferencia de los archivos VHD y VHDX, hay más posibilidades de que un producto antivirus desplegado pueda detectar el malware contenido en un archivo ISO o IMG.
Realicé la misma prueba EICAR que la anterior con VirusTotal, pero esta vez el archivo eicar.com fue detectado dentro de un archivo ISO. Estos son los resultados:
Si bien estos resultados no son muy buenos, al menos hay alguna evidencia de que algunos productos de seguridad analizarán el contenido de un archivo ISO.
Conclusión y recomendaciones
Los archivos VHD y VHDX pueden ser peligrosos. Debido a la combinación del análisis del sistema de archivos a nivel del kernel y también a la falta de etiquetado MOTW de su contenido, permitir que los archivos VHD o VHDX lleguen a los puntos finales aumenta el riesgo que presentan esos sistemas. Las siguientes estrategias pueden ayudar a minimizar este riesgo:
- Bloquee los archivos VHD, VHDX, IMG e ISO en las pasarelas de correo electrónico.
- Desregistre las extensiones de archivo VHD, VHDX, IMG e ISO en el Explorador de Microsoft Windows.
- Restrinja los archivos VHD, VHDX, IMG e ISO en las pasarelas web. (Hay algunas razones legítimas para que estos archivos se descarguen, así que asegúrese de que cualquier restricción no bloquea las necesidades empresariales legítimas.)