Arquivos VHD e VHDX
O formato de arquivo VHD (Virtual Hard Disk), originalmente introduzido com o Connectix Virtual PC, pode armazenar o conteúdo de uma unidade de disco rígido. Eventualmente, o Microsoft Hyper-V adoptou este formato de imagem de disco. O Windows 7 e os sistemas mais recentes incluem a capacidade de montar manualmente ficheiros VHD. A partir do Windows 8, um usuário pode montar um VHD simplesmente clicando duas vezes sobre o arquivo. Uma vez montada, uma imagem de disco VHD aparece no Windows como um disco rígido normal que está fisicamente conectado ao sistema. As imagens VHDX (Virtual Hard Disk v2) são funcionalmente equivalentes às imagens VHD, mas incluem recursos mais modernos, como suporte para tamanhos maiores e redimensionamento de disco.
VHD/VHDX e Corrupção do Sistema de Arquivos
Depois de fuzzingar as imagens do sistema de arquivos com o BFF, fui capaz de encontrar várias maneiras diferentes de travar o Windows como resultado da montagem de um disco corrompido. Conectar fisicamente um dispositivo de armazenamento em massa USB com um sistema de arquivos corrompido foi o vetor de ataque óbvio. No entanto, muitos conceitos de segurança são negados quando o acesso físico a um sistema é concedido. Os arquivos VHD e VHDX eliminam o requisito de acesso físico a um sistema de vítimas. Se um usuário simplesmente clicar duas vezes em um arquivo VHD ou VHDX que contenha um sistema de arquivos especialmente criado, ele corre o risco de travar o Windows ou pior, como ilustrado abaixo.
Marca da Web
Marca da Web (MOTW) foi introduzido no Windows XP SP2 e permitiu que o Windows etiquetasse arquivos no sistema de arquivos local com informações sobre a zona de segurança do Internet Explorer de onde os arquivos se originaram. Esta funcionalidade MOTW tem evoluído para lidar com cada vez mais tipos de ficheiros e cenários. O tema recorrente é que arquivos que vieram da Internet (por exemplo, uma página web ou um e-mail) podem ser perigosos e, portanto, devem ser tratados com mais cuidado.
Por exemplo, a partir do Microsoft Office 2010, os documentos etiquetados com um MOTW que indicava que eles vieram da Internet são abertos na Vista Protegida do Microsoft Office. Documentos na Vista Protegida são restritos no que podem fazer, reduzindo assim a superfície de ataque de documentos potencialmente perigosos. Eis o que um usuário pode ver ao abrir um documento na Visão Protegida:
Iniciar com Windows 10, Windows Defender SmartScreen restringe a execução de certos tipos de arquivo se eles se originaram da Internet. Aqui está o que um usuário pode ver quando o SmartScreen bloqueia um executável inseguro:
Como o Windows sabe se um arquivo se originou da Internet? Ele usa a tag MOTW associada com o arquivo em questão. Se o Windows Explorer ou outros utilitários ZIP compatíveis são usados para extrair o conteúdo de um arquivo ZIP, cada arquivo contido em um arquivo ZIP carrega o MOTW do recipiente do arquivo ZIP.
Arquivos VHD/VHDX e MOTW
Da perspectiva da experiência do usuário, começando com os arquivos Windows 8, VHD e VHDX podem ter uma função similar aos arquivos ZIP. Ou seja, o usuário faz duplo clique sobre o arquivo para mostrar seu conteúdo no Windows Explorer. A diferença importante é que os arquivos contidos dentro de um container VHD ou VHDX não retêm o MOTW do container do arquivo.
O que isso significa do ponto de vista do usuário final? Qualquer arquivo contido em um arquivo VHD ou VHDX não receberá as mesmas proteções que o Windows fornece contra arquivos originados da Internet. Para ajudar a entender o que isso significa, criei um vídeo que demonstra várias diferenças entre um arquivo MOTW-tagged (em um ZIP) e um que não contém a tag MOTW (em um VHD):
Arquivos VHD/VHDX e Antivírus
Não encontrei nenhuma evidência de que qualquer software antivírus atualmente implantado faça um scan aos arquivos contidos em um arquivo VHD ou VHDX. No entanto, para aqueles que executam uma empresa, a falta da capacidade de verificar esses arquivos deixa um ponto cego para certos arquivos até que eles cheguem ao ponto final. Se o conteúdo dos arquivos VHD e VHDX não forem verificados por e-mail e produtos de segurança de gateway web, esses produtos não têm esperança de detectar malware contido nos arquivos VHD ou VHDX.
Criei um VHD que contém o arquivo de teste anti malware EICAR e fiz o upload desse arquivo para o VirusTotal. Aqui estão os resultados:
Não há evidência de que algum dos scanners configurados no VirusTotal tenha analisado o conteúdo de um arquivo VHD.
Arquivos ISO e IMG
Malware espalhado através de arquivos ISO já está acontecendo na natureza. Assim como os arquivos VHD e VHDX, o conteúdo dos arquivos ISO ou IMG não trazem o MOTW do arquivo que o contém. E tal como os ficheiros VHD e VHDX, a partir do Windows 8, os ficheiros ISO e IMG podem ser abertos com um duplo clique. Ao contrário dos ficheiros VHD e VHDX, no entanto, existe uma maior probabilidade de que um produto antivírus implantado possa detectar malware contido num ficheiro ISO ou IMG.
Realizei o mesmo teste EICAR que o anterior com o VirusTotal, mas desta vez o ficheiro eicar.com foi detectado dentro de um ficheiro ISO. Aqui estão os resultados:
Embora estes resultados não sejam grandes, há pelo menos algumas evidências de que alguns produtos de segurança irão verificar o conteúdo do ficheiro ISO.
Conclusão e Recomendações
Arquivos VHD e VHDX podem ser perigosos. Devido à combinação de análise do sistema de arquivos em nível de kernel e também a falta de marcação MOTW em seu conteúdo, permitindo que arquivos VHD ou VHDX cheguem aos pontos finais aumenta o risco apresentado a esses sistemas. As seguintes estratégias podem ajudar a minimizar este risco:
- Bloquear arquivos VHD, VHDX, IMG e ISO em gateways de e-mail.
- Desregistrar as extensões de arquivos VHD, VHDX, IMG e ISO no Microsoft Windows Explorer.
- Restringir arquivos VHD, VHDX, IMG e ISO em gateways web. (Há algumas razões legítimas para que esses arquivos sejam baixados, portanto, certifique-se de que quaisquer restrições não bloqueiem as necessidades comerciais legítimas.)