VHD- en VHDX-bestanden
Het VHD-bestandsformaat (Virtual Hard Disk), oorspronkelijk geïntroduceerd met Connectix Virtual PC, kan de inhoud van een harde schijf opslaan. Uiteindelijk heeft Microsoft Hyper-V dit disk image formaat overgenomen. Windows 7 en nieuwere systemen bieden de mogelijkheid om VHD-bestanden handmatig te mounten. Vanaf Windows 8 kan een gebruiker een VHD mounten door eenvoudigweg op het bestand te dubbelklikken. Eenmaal aangekoppeld ziet een VHD-schijfimage er voor Windows uit als een normale harde schijf die fysiek met het systeem is verbonden. VHDX (Virtual Hard Disk v2) images zijn functioneel gelijk aan VHD images, maar ze bevatten meer moderne mogelijkheden, zoals ondersteuning voor grotere formaten en disk resizing.
VHD/VHDX en File System Corruptie
Na het fuzzen van file system images met BFF, was ik in staat om verschillende manieren te vinden om Windows te laten crashen als gevolg van het mounten van een corrupte disk. Het fysiek aansluiten van een USB-apparaat voor massaopslag met een beschadigd bestandssysteem was de voor de hand liggende aanvalsvector. Echter, veel beveiligingsconcepten worden teniet gedaan wanneer fysieke toegang tot een systeem wordt verleend. VHD- en VHDX-bestanden elimineren de noodzaak voor fysieke toegang tot een slachtoffer systeem. Als een gebruiker dubbelklikt op een VHD- of VHDX-bestand dat een speciaal bewerkt bestandssysteem bevat, loopt hij het risico dat Windows crasht of erger, zoals hieronder wordt geïllustreerd.
Mark of the Web
Mark of the Web (MOTW) werd geïntroduceerd in Windows XP SP2 en stelde Windows in staat om bestanden op het lokale bestandssysteem te voorzien van informatie over de Internet Explorer-beveiligingszone van waaruit de bestanden afkomstig zijn. Deze MOTW-functie is geëvolueerd om met steeds meer bestandstypen en scenario’s overweg te kunnen. Het terugkerende thema is dat bestanden die afkomstig zijn van internet (bijvoorbeeld een webpagina of een e-mail) gevaarlijk kunnen zijn, en daarom met meer voorzichtigheid moeten worden behandeld.
Vooral vanaf Microsoft Office 2010 worden documenten die zijn gemarkeerd met een APK die aangeeft dat ze van internet afkomstig zijn, geopend in Microsoft Office Beschermde weergave. Documenten in Beschermde weergave zijn beperkt in wat ze kunnen doen, waardoor het aanvalsoppervlak van potentieel gevaarlijke documenten wordt verkleind. Dit is wat een gebruiker te zien kan krijgen als hij een document opent in Beschermde weergave:
Vanaf Windows 10 beperkt Windows Defender SmartScreen de uitvoering van bepaalde bestandstypen als deze afkomstig zijn van internet. Dit is wat een gebruiker kan zien wanneer SmartScreen een onveilig uitvoerbaar bestand blokkeert:
Hoe weet Windows of een bestand afkomstig is van internet? Het gebruikt de MOTW-tag die aan het bestand in kwestie is gekoppeld. Als Windows Verkenner of andere compatibele ZIP-hulpprogramma’s worden gebruikt om de inhoud van een ZIP-bestand uit te pakken, heeft elk bestand in een ZIP-bestand de MOTW van de ZIP-bestandscontainer.
VHD/VHDX-bestanden en MOTW
Vanuit het oogpunt van gebruikerservaring, te beginnen met Windows 8, kunnen VHD- en VHDX-bestanden een vergelijkbare functie hebben als ZIP-bestanden. Dat wil zeggen, de gebruiker dubbelklikt op het bestand om de inhoud te tonen in Windows Verkenner. Het belangrijke verschil is dat de bestanden die in een VHD of VHDX container staan niet de APK van het containerbestand behouden.
Wat betekent dit vanuit het perspectief van de eindgebruiker? Elk bestand in een VHD of VHDX bestand krijgt niet dezelfde bescherming die Windows biedt tegen bestanden die afkomstig zijn van het Internet. Om te helpen begrijpen wat dit betekent, heb ik een video gemaakt die een aantal verschillen laat zien tussen een bestand met een MOTW-tag (in een ZIP) en een bestand zonder de MOTW-tag (in een VHD):
VHD/VHDX-bestanden en antivirus
Ik heb geen aanwijzingen gevonden dat de bestanden in een VHD- of VHDX-bestand door de huidige antivirussoftware worden gescand. Voor degenen die een onderneming leiden, laat het ontbreken van de mogelijkheid om deze bestanden te scannen echter een blinde vlek achter voor bepaalde bestanden totdat ze op het eindpunt aankomen. Als de inhoud van VHD- en VHDX-bestanden niet wordt gescand door beveiligingsproducten voor e-mail en webgateways, hebben deze producten geen kans om malware in VHD- of VHDX-bestanden te detecteren.
Ik heb een VHD gemaakt die het EICAR-antimalware-testbestand bevat en dat bestand geüpload naar VirusTotal. Hier zijn de resultaten:
Er is geen bewijs dat een van de in VirusTotal geconfigureerde scanners de inhoud van een VHD-bestand heeft gescand.
ISO- en IMG-bestanden
Malware die via ISO-bestanden wordt verspreid, komt al in het wild voor. Net als VHD- en VHDX-bestanden, draagt de inhoud van ISO- of IMG-bestanden niet de APK van het bevattende bestand. En net als VHD- en VHDX-bestanden kunnen ISO- en IMG-bestanden vanaf Windows 8 worden geopend met een dubbelklik. In tegenstelling tot VHD- en VHDX-bestanden is de kans echter groter dat een ingezet antivirusproduct malware detecteert die zich in een ISO- of IMG-bestand bevindt.
Ik voerde dezelfde EICAR-test uit als hierboven met VirusTotal, maar deze keer werd het eicar.com-bestand gedetecteerd binnen een ISO-bestand. Dit zijn de resultaten:
Hoewel deze resultaten niet geweldig zijn, is er ten minste enig bewijs dat sommige beveiligingsproducten de bestandsinhoud van een ISO-bestand scannen.
Conclusie en aanbevelingen
VHD- en VHDX-bestanden kunnen gevaarlijk zijn. Door de combinatie van kernel-level bestandssysteem parsing en ook het ontbreken van MOTW tagging voor hun inhoud, verhoogt het toestaan van VHD of VHDX bestanden op eindpunten het risico voor die systemen. De volgende strategieën kunnen helpen dit risico te minimaliseren:
- VHD-, VHDX-, IMG- en ISO-bestanden blokkeren bij e-mailgateways.
- De VHD-, VHDX-, IMG- en ISO-bestandsextensies uitschakelen in Microsoft Windows Verkenner.
- VHD-, VHDX-, IMG- en ISO-bestanden beperken bij webgateways. (Er zijn enkele legitieme redenen waarom deze bestanden moeten worden gedownload, dus zorg ervoor dat eventuele beperkingen geen legitieme zakelijke behoeften blokkeren.)