VHD és VHDX fájlok
A VHD (Virtual Hard Disk) fájlformátum, amelyet eredetileg a Connectix Virtual PC-vel vezettek be, egy merevlemez meghajtó tartalmát tárolhatja. Végül a Microsoft Hyper-V is átvette ezt a lemezképformátumot. A Windows 7 és az újabb rendszerek tartalmazzák a VHD fájlok kézi csatolásának lehetőségét. A Windows 8-tól kezdődően a felhasználó egyszerűen a fájlra duplán kattintva csatlakoztathat egy VHD fájlt. A csatlakoztatás után a VHD lemezkép úgy jelenik meg a Windows számára, mint egy normál merevlemez, amely fizikailag csatlakozik a rendszerhez. A VHDX (Virtual Hard Disk v2) lemezképek funkcionálisan megegyeznek a VHD lemezképekkel, de modernebb funkciókat tartalmaznak, mint például a nagyobb méretek és a lemez átméretezésének támogatása.
VHD/VHDX és a fájlrendszer sérülése
A fájlrendszer-képek BFF segítségével végzett fuzzingja után számos különböző módot találtam arra, hogy a Windows összeomoljon egy sérült lemez mountolásának eredményeként. Egy sérült fájlrendszerrel rendelkező USB tömegtároló eszköz fizikai csatlakoztatása volt a nyilvánvaló támadási vektor. A rendszerhez való fizikai hozzáférés azonban számos biztonsági koncepciót semmissé tesz. A VHD és VHDX fájlok kiküszöbölik az áldozati rendszerhez való fizikai hozzáférés követelményét. Ha egy felhasználó egyszerűen duplán kattint egy olyan VHD- vagy VHDX-fájlra, amely egy speciálisan kialakított fájlrendszert tartalmaz, a Windows összeomlását vagy még rosszabbat kockáztatja, amint azt az alábbi ábra mutatja.
Mark of the Web
A Windows XP SP2-ben bevezetett Mark of the Web (MOTW) lehetővé tette a Windows számára, hogy a helyi fájlrendszerben lévő fájlokat megjelölje az Internet Explorer azon biztonsági zónájára vonatkozó információkkal, ahonnan a fájlok származnak. Ez a MOTW funkció egyre több fájltípus és forgatókönyv kezelése érdekében fejlődött. A visszatérő téma az, hogy az internetről (pl. weboldalról vagy e-mailből) származó fájlok veszélyesek lehetnek, és ezért nagyobb óvatossággal kell kezelni őket.
A Microsoft Office 2010-től kezdve például az internetről való származásukat jelző MOTW-vel megjelölt dokumentumok a Microsoft Office védett nézetben nyílnak meg. A Védett nézetben lévő dokumentumok korlátozottan használhatók, így csökkentve a potenciálisan veszélyes dokumentumok támadási felületét. Az alábbiakat láthatja a felhasználó, amikor megnyit egy dokumentumot a Védett nézetben:
A Windows 10-től kezdve a Windows Defender SmartScreen korlátozza bizonyos fájltípusok végrehajtását, ha azok az internetről származnak. Az alábbiakat láthatja a felhasználó, amikor a SmartScreen blokkol egy nem biztonságos futtatható fájlt:
Honnan tudja a Windows, hogy egy fájl az internetről származik-e? A kérdéses fájlhoz tartozó MOTW címkét használja. Ha a Windows Intéző vagy más kompatibilis ZIP segédprogramokat használnak a ZIP-fájl tartalmának kicsomagolásához, a ZIP-fájlban található minden egyes fájl a ZIP-fájl tárolójának MOTW-címkéjét viseli.
VHD/VHDX fájlok és a MOTW
A Windows 8-tól kezdve a felhasználói élmény szempontjából a VHD és VHDX fájlok a ZIP-fájlokhoz hasonló funkcióval rendelkezhetnek. Vagyis a felhasználó a fájlra duplán kattintva megjeleníti annak tartalmát a Windows Intézőben. A fontos különbség az, hogy a VHD vagy VHDX konténerben található fájlok nem őrzik meg a konténerfájl MOTW-jét.
Mit jelent ez a végfelhasználó szempontjából? A VHD vagy VHDX fájlban található fájlok nem kapják meg ugyanazt a védelmet, amelyet a Windows nyújt az internetről származó fájlokkal szemben. Hogy segítsek megérteni, mit jelent ez, készítettem egy videót, amely számos különbséget mutat be egy MOTW-címkével ellátott (ZIP-ben lévő) és egy MOTW-címkét nem tartalmazó (VHD-ben lévő) fájl között:
VHD/VHDX fájlok és a vírusirtók
Nem találtam bizonyítékot arra, hogy bármely jelenleg telepített vírusirtó szoftver vizsgálná a VHD vagy VHDX fájlban lévő fájlokat. Azonban azok számára, akik vállalatot üzemeltetnek, az ilyen fájlok vizsgálatára való képesség hiánya vakfoltot hagy bizonyos fájlok számára, amíg azok meg nem érkeznek a végpontra. Ha a VHD- és VHDX-fájlok tartalmát nem vizsgálják az e-mail- és webkapu biztonsági termékek, akkor ezeknek a termékeknek nincs reményük a VHD- vagy VHDX-fájlokban található rosszindulatú programok felderítésére.
Elkészítettem egy VHD-t, amely az EICAR anti malware tesztfájlt tartalmazza, és feltöltöttem ezt a fájlt a VirusTotalra. Íme az eredmények:
Nincs bizonyíték arra, hogy a VirusTotalban konfigurált szkennerek bármelyike megvizsgálta volna a VHD fájl tartalmát.
ISO és IMG fájlok
A kártevők ISO fájlokon keresztül terjednek a természetben. A VHD- és VHDX-fájlokhoz hasonlóan az ISO- vagy IMG-fájlok tartalma nem hordozza a tartalmazó fájl MOTW-jét. És a VHD- és VHDX-fájlokhoz hasonlóan a Windows 8-tól kezdve az ISO- és IMG-fájlok is dupla kattintással nyithatók meg. A VHD és VHDX fájlokkal ellentétben azonban nagyobb az esélye annak, hogy egy telepített vírusirtó termék észleli az ISO vagy IMG fájlban található rosszindulatú programokat.
A fentiekkel megegyező EICAR tesztet végeztem a VirusTotal segítségével, de ezúttal az eicar.com fájlt egy ISO fájlban észlelték. Íme az eredmények:
Noha ezek az eredmények nem nagyszerűek, legalább van némi bizonyíték arra, hogy egyes biztonsági termékek átvizsgálják az ISO-fájlok tartalmát.
Következtetés és ajánlások
A VHD és VHDX fájlok veszélyesek lehetnek. A kernel-szintű fájlrendszer-elemzés és a tartalmuk MOTW-címkézésének hiánya miatt a VHD vagy VHDX fájlok végpontokra való megérkezésének engedélyezése növeli a rendszerekre jelentett kockázatot. A következő stratégiák segíthetnek minimalizálni ezt a kockázatot:
- Blokkolja a VHD, VHDX, IMG és ISO fájlokat az e-mail átjáróknál.
- Törölje a VHD, VHDX, IMG és ISO fájlkiterjesztések regisztrációját a Microsoft Windows Explorerben.
- Korlátozza a VHD, VHDX, IMG és ISO fájlok használatát a webes átjáróknál. (Van néhány törvényes oka annak, hogy ezeket a fájlokat le kell tölteni, ezért gondoskodjon arról, hogy a korlátozások ne akadályozzák a törvényes üzleti igényeket)
.