Fichiers VHD et VHDX
Le format de fichier VHD (Virtual Hard Disk), initialement introduit avec Connectix Virtual PC, peut stocker le contenu d’un disque dur. Par la suite, Microsoft Hyper-V a adopté ce format d’image disque. Les systèmes Windows 7 et plus récents offrent la possibilité de monter manuellement les fichiers VHD. À partir de Windows 8, un utilisateur peut monter un VHD en double-cliquant simplement sur le fichier. Une fois montée, une image disque VHD apparaît à Windows comme un disque dur normal physiquement connecté au système. Les images VHDX (Virtual Hard Disk v2) sont fonctionnellement équivalentes aux images VHD, mais elles incluent des fonctionnalités plus modernes, comme la prise en charge de tailles plus importantes et le redimensionnement du disque.
VHD/VHDX et corruption du système de fichiers
Après avoir fuzzé les images du système de fichiers avec BFF, j’ai pu trouver plusieurs façons différentes de faire planter Windows suite au montage d’un disque corrompu. Brancher physiquement un périphérique de stockage de masse USB avec un système de fichiers corrompu était le vecteur d’attaque évident. Cependant, de nombreux concepts de sécurité sont annulés lorsque l’accès physique à un système est accordé. Les fichiers VHD et VHDX éliminent la nécessité d’un accès physique à un système victime. Si un utilisateur double-clique simplement sur un fichier VHD ou VHDX qui contient un système de fichiers spécialement conçu, il risque de faire planter Windows ou pire, comme illustré ci-dessous.
Marque du Web
La marque du Web (MOTW) a été introduite dans Windows XP SP2 et a permis à Windows de marquer les fichiers du système de fichiers local avec des informations sur la zone de sécurité d’Internet Explorer d’où proviennent les fichiers. Cette fonction MOTW a évolué pour gérer de plus en plus de types de fichiers et de scénarios. Le thème récurrent est que les fichiers qui proviennent d’Internet (par exemple, une page Web ou un courriel) peuvent être dangereux et doivent donc être traités avec plus de prudence.
Par exemple, à partir de Microsoft Office 2010, les documents marqués avec un MOTW indiquant qu’ils proviennent d’Internet sont ouverts dans Microsoft Office Protected View. Les documents en vue protégée sont limités dans ce qu’ils peuvent faire, ce qui réduit la surface d’attaque des documents potentiellement dangereux. Voici ce qu’un utilisateur peut voir lorsqu’il ouvre un document en Protected View :
Depuis Windows 10, Windows Defender SmartScreen restreint l’exécution de certains types de fichiers s’ils proviennent d’Internet. Voici ce qu’un utilisateur peut voir lorsque SmartScreen bloque un exécutable non sécurisé :
Comment Windows sait-il si un fichier provient d’Internet ? Il utilise la balise MOTW associée au fichier en question. Si Windows Explorer ou d’autres utilitaires ZIP conformes sont utilisés pour extraire le contenu d’un fichier ZIP, chaque fichier contenu dans un fichier ZIP porte le MOTW du conteneur du fichier ZIP.
Les fichiers VHD/VHDX et le MOTW
Du point de vue de l’expérience utilisateur, à partir de Windows 8, les fichiers VHD et VHDX peuvent avoir une fonction similaire à celle des fichiers ZIP. C’est-à-dire que l’utilisateur double-clique sur le fichier pour afficher son contenu dans l’explorateur Windows. La différence importante est que les fichiers contenus dans un conteneur VHD ou VHDX ne conservent pas le MOTW du fichier conteneur.
Que cela signifie-t-il du point de vue de l’utilisateur final ? Tout fichier contenu dans un fichier VHD ou VHDX ne recevra pas les mêmes protections que Windows fournit contre les fichiers provenant d’Internet. Pour aider à comprendre ce que cela signifie, j’ai créé une vidéo qui démontre plusieurs différences entre un fichier étiqueté MOTW (dans un ZIP) et un fichier qui ne contient pas l’étiquette MOTW (dans un VHD) :
Les fichiers VHD/VHDX et l’antivirus
Je n’ai trouvé aucune preuve qu’un logiciel antivirus actuellement déployé analyse les fichiers contenus dans un fichier VHD ou VHDX. Cependant, pour ceux qui gèrent une entreprise, l’absence de la possibilité d’analyser ces fichiers laisse un angle mort pour certains fichiers jusqu’à ce qu’ils arrivent au point de terminaison. Si le contenu des fichiers VHD et VHDX n’est pas analysé par les produits de sécurité de la messagerie et des passerelles Web, ces produits n’ont aucun espoir de détecter les logiciels malveillants contenus dans les fichiers VHD ou VHDX.
J’ai créé un VHD qui contient le fichier de test anti-malware EICAR et j’ai téléchargé ce fichier sur VirusTotal. Voici les résultats:
Il n’y a aucune preuve qu’un des scanners configurés dans VirusTotal ait analysé le contenu d’un fichier VHD.
Fichiers ISO et IMG
La propagation de logiciels malveillants via des fichiers ISO se produit déjà dans la nature. Tout comme les fichiers VHD et VHDX, le contenu des fichiers ISO ou IMG ne porte pas le MOTW du fichier qui le contient. Et tout comme les fichiers VHD et VHDX, à partir de Windows 8, les fichiers ISO et IMG peuvent être ouverts par un double-clic. Cependant, contrairement aux fichiers VHD et VHDX, il y a plus de chances qu’un antivirus déployé détecte un malware contenu dans un fichier ISO ou IMG.
J’ai effectué le même test EICAR que ci-dessus avec VirusTotal, mais cette fois-ci, le fichier eicar.com a été détecté au sein d’un fichier ISO. Voici les résultats :
Bien que ces résultats ne soient pas excellents, il existe au moins des preuves que certains produits de sécurité analyseront le contenu d’un fichier ISO.
Conclusion et recommandations
Les fichiers VHD et VHDX peuvent être dangereux. En raison de la combinaison de l’analyse du système de fichiers au niveau du noyau et également de l’absence de marquage MOTW de leur contenu, le fait de permettre aux fichiers VHD ou VHDX d’arriver aux points d’extrémité augmente le risque présenté à ces systèmes. Les stratégies suivantes peuvent aider à minimiser ce risque :
- Bloquer les fichiers VHD, VHDX, IMG et ISO au niveau des passerelles de messagerie.
- Désenregistrer les extensions de fichiers VHD, VHDX, IMG et ISO dans l’explorateur Microsoft Windows.
- Restreindre les fichiers VHD, VHDX, IMG et ISO au niveau des passerelles web. (Il existe certaines raisons légitimes pour lesquelles ces fichiers doivent être téléchargés, alors assurez-vous que toute restriction ne bloque pas les besoins légitimes de l’entreprise.)