Pliki VHD i VHDX
Format pliku VHD (Virtual Hard Disk), pierwotnie wprowadzony przez Connectix Virtual PC, może przechowywać zawartość dysku twardego. Ostatecznie, Microsoft Hyper-V przyjął ten format obrazu dysku. Windows 7 i nowsze systemy zawierają możliwość ręcznego montowania plików VHD. Począwszy od Windows 8, użytkownik może zamontować VHD po prostu klikając dwukrotnie na plik. Po zamontowaniu, obraz dysku VHD pojawia się w systemie Windows jako normalny dysk twardy, który jest fizycznie podłączony do systemu. Obrazy VHDX (Virtual Hard Disk v2) są funkcjonalnie równoważne z obrazami VHD, ale zawierają bardziej nowoczesne funkcje, takie jak obsługa większych rozmiarów i zmiana rozmiaru dysku.
VHD/VHDX i uszkodzenie systemu plików
Po sprawdzeniu obrazów systemów plików za pomocą BFF, byłem w stanie znaleźć kilka różnych sposobów na rozbicie systemu Windows w wyniku zamontowania uszkodzonego dysku. Fizyczne podłączenie urządzenia pamięci masowej USB z uszkodzonym systemem plików było oczywistym wektorem ataku. Jednakże, wiele koncepcji bezpieczeństwa jest negowanych, gdy fizyczny dostęp do systemu jest przyznany. Pliki VHD i VHDX eliminują wymóg fizycznego dostępu do systemu ofiary. Jeśli użytkownik po prostu dwukrotnie kliknie na plik VHD lub VHDX, który zawiera specjalnie spreparowany system plików, ryzykuje awarię systemu Windows lub coś gorszego, jak pokazano poniżej.
Mark of the Web
Mark of the Web (MOTW) został wprowadzony w Windows XP SP2 i pozwolił systemowi Windows na oznaczanie plików w lokalnym systemie plików informacjami o strefie bezpieczeństwa Internet Explorera, z której pochodzą pliki. Ta funkcja MOTW ewoluowała, aby obsłużyć coraz więcej typów plików i scenariuszy. Powtarzającym się motywem jest to, że pliki, które pochodzą z Internetu (np. strona internetowa lub wiadomość e-mail) mogą być niebezpieczne i dlatego powinny być traktowane z większą ostrożnością.
Na przykład, począwszy od pakietu Microsoft Office 2010, dokumenty oznaczone symbolem MOTW, który wskazuje, że pochodzą z Internetu, są otwierane w widoku chronionym pakietu Microsoft Office. Dokumenty w widoku chronionym są ograniczone pod względem tego, co mogą robić, zmniejszając w ten sposób powierzchnię ataku potencjalnie niebezpiecznych dokumentów. Oto, co może zobaczyć użytkownik podczas otwierania dokumentu w Widoku chronionym:
Począwszy od systemu Windows 10, funkcja Windows Defender SmartScreen ogranicza wykonywanie pewnych typów plików, jeśli pochodzą one z Internetu. Oto, co może zobaczyć użytkownik, gdy SmartScreen zablokuje niebezpieczny plik wykonywalny:
Skąd system Windows wie, czy plik pochodzi z Internetu? Korzysta z tagu MOTW powiązanego z danym plikiem. Jeśli Eksplorator Windows lub inne zgodne narzędzia ZIP są używane do wyodrębnienia zawartości pliku ZIP, każdy plik zawarty w pliku ZIP posiada znacznik MOTW kontenera pliku ZIP.
Pliki VHD/VHDX i MOTW
Z perspektywy doświadczenia użytkownika, począwszy od systemu Windows 8, pliki VHD i VHDX mogą mieć funkcję podobną do plików ZIP. Oznacza to, że użytkownik klika dwukrotnie na plik, aby wyświetlić jego zawartość w Eksploratorze Windows. Istotną różnicą jest to, że pliki zawarte w kontenerze VHD lub VHDX nie zachowują MOTW pliku kontenera.
Co to oznacza z perspektywy użytkownika końcowego? Każdy plik zawarty w VHD lub VHDX nie otrzyma tych samych zabezpieczeń, które Windows zapewnia przed plikami pochodzącymi z Internetu. Aby pomóc zrozumieć, co to oznacza, stworzyłem film, który demonstruje kilka różnic między plikiem oznaczonym znacznikiem MOTW (w ZIP) a takim, który nie zawiera znacznika MOTW (w VHD):
Pliki VHD/VHDX i antywirus
Nie znalazłem dowodów na to, że jakiekolwiek obecnie wdrożone oprogramowanie antywirusowe będzie skanować pliki zawarte w pliku VHD lub VHDX. Jednak dla tych, którzy prowadzą przedsiębiorstwo, brak możliwości skanowania tych plików pozostawia ślepą plamę dla niektórych plików, dopóki nie dotrą do punktu końcowego. Jeśli zawartość plików VHD i VHDX nie jest skanowana przez produkty bezpieczeństwa poczty elektronicznej i bramy internetowej, produkty te nie mają szans na wykrycie złośliwego oprogramowania zawartego w plikach VHD lub VHDX.
Utworzyłem VHD, który zawiera plik testowy EICAR anti malware i przesłałem ten plik do VirusTotal. Oto wyniki:
Nie ma dowodów na to, że którykolwiek ze skanerów skonfigurowanych w VirusTotal przeskanował zawartość pliku VHD.
Pliki ISO i IMG
Złośliwe oprogramowanie rozprzestrzeniające się za pośrednictwem plików ISO jest już spotykane na wolności. Podobnie jak pliki VHD i VHDX, zawartość plików ISO lub IMG nie posiada MOTW pliku zawierającego. I tak jak pliki VHD i VHDX, począwszy od Windows 8, pliki ISO i IMG mogą być otwierane za pomocą podwójnego kliknięcia. Jednak w przeciwieństwie do plików VHD i VHDX, istnieje większa szansa, że wdrożony produkt antywirusowy może wykryć złośliwe oprogramowanie zawarte w pliku ISO lub IMG.
Wykonałem ten sam test EICAR, co powyżej w VirusTotal, ale tym razem plik eicar.com został wykryty w pliku ISO. Oto wyniki:
Choć wyniki te nie są rewelacyjne, istnieją przynajmniej dowody na to, że niektóre produkty zabezpieczające skanują zawartość pliku ISO.
Wnioski i zalecenia
Pliki VHD i VHDX mogą być niebezpieczne. Ze względu na kombinację parsowania systemu plików na poziomie jądra, a także brak oznaczenia MOTW ich zawartości, pozwolenie na dotarcie plików VHD lub VHDX do punktów końcowych zwiększa ryzyko dla tych systemów. Następujące strategie mogą pomóc zminimalizować to ryzyko:
- Blokuj pliki VHD, VHDX, IMG i ISO w bramach poczty elektronicznej.
- Wyrejestruj rozszerzenia plików VHD, VHDX, IMG i ISO w Eksploratorze Microsoft Windows.
- Ostrzeż pliki VHD, VHDX, IMG i ISO w bramach internetowych. (Istnieją pewne uzasadnione powody, dla których te pliki są pobierane, więc upewnij się, że wszelkie ograniczenia nie blokują uzasadnionych potrzeb biznesowych.)