Filele VHD și VHDX
Formatul de fișier VHD (Virtual Hard Disk), introdus inițial cu Connectix Virtual PC, poate stoca conținutul unei unități de hard disk. În cele din urmă, Microsoft Hyper-V a adoptat acest format de imagine de disc. Windows 7 și sistemele mai noi includ posibilitatea de a monta manual fișiere VHD. Începând cu Windows 8, un utilizator poate monta un VHD pur și simplu făcând dublu clic pe fișier. Odată montată, o imagine de disc VHD apare pentru Windows ca un hard disk normal care este conectat fizic la sistem. Imaginile VHDX (Virtual Hard Disk v2) sunt echivalente din punct de vedere funcțional cu imaginile VHD, dar includ caracteristici mai moderne, cum ar fi suportul pentru dimensiuni mai mari și redimensionarea discului.
VHD/VHDX și coruperea sistemului de fișiere
După ce am fuzzat imaginile sistemului de fișiere cu BFF, am reușit să găsesc mai multe moduri diferite de a bloca Windows ca urmare a faptului că acesta a montat un disc corupt. Conectarea fizică a unui dispozitiv de stocare în masă USB cu un sistem de fișiere corupt a fost vectorul de atac evident. Cu toate acestea, multe concepte de securitate sunt anulate atunci când se acordă acces fizic la un sistem. Fișierele VHD și VHDX elimină cerința accesului fizic la un sistem victimă. Dacă un utilizator pur și simplu face dublu clic pe un fișier VHD sau VHDX care conține un sistem de fișiere special creat, acesta riscă să blocheze Windows sau chiar mai rău, așa cum este ilustrat mai jos.
Mark of the Web
Mark of the Web (MOTW) a fost introdus în Windows XP SP2 și a permis Windows să marcheze fișierele din sistemul de fișiere local cu informații despre zona de securitate Internet Explorer din care provin fișierele. Această caracteristică MOTW a evoluat pentru a gestiona din ce în ce mai multe tipuri de fișiere și scenarii. Tema recurentă este aceea că fișierele care provin de pe internet (de exemplu, o pagină web sau un e-mail) pot fi periculoase și, prin urmare, trebuie tratate cu mai multă precauție.
De exemplu, începând cu Microsoft Office 2010, documentele etichetate cu un MOTW care indică faptul că provin de pe internet sunt deschise în Microsoft Office Protected View. Documentele din Protected View sunt restricționate în ceea ce pot face, reducând astfel suprafața de atac a documentelor potențial periculoase. Iată ce ar putea vedea un utilizator atunci când deschide un document în Protected View:
Începând cu Windows 10, Windows Defender SmartScreen restricționează executarea anumitor tipuri de fișiere dacă acestea provin de pe internet. Iată ce ar putea vedea un utilizator atunci când SmartScreen blochează un executabil nesigur:
Cum știe Windows dacă un fișier provine de pe Internet? Folosește eticheta MOTW asociată cu fișierul în cauză. Dacă Windows Explorer sau alte utilitare ZIP compatibile sunt utilizate pentru a extrage conținutul unui fișier ZIP, fiecare fișier conținut într-un fișier ZIP poartă MOTW al containerului de fișiere ZIP.
Filele VHD/VHDX și MOTW
Din perspectiva experienței utilizatorului, începând cu Windows 8, fișierele VHD și VHDX pot avea o funcție similară cu cea a fișierelor ZIP. Adică, utilizatorul face dublu clic pe fișier pentru a afișa conținutul acestuia în Windows Explorer. Diferența importantă este că fișierele conținute într-un container VHD sau VHDX nu păstrează MOTW-ul fișierului container.
Ce înseamnă acest lucru din punctul de vedere al utilizatorului final? Orice fișier conținut într-un fișier VHD sau VHDX nu va beneficia de aceleași protecții pe care Windows le oferă împotriva fișierelor care provin de pe internet. Pentru a vă ajuta să înțelegeți ce înseamnă acest lucru, am creat un videoclip care demonstrează câteva diferențe între un fișier cu eticheta MOTW (într-un ZIP) și unul care nu conține eticheta MOTW (într-un VHD):
Filele VHD/VHDX și antivirusul
Nu am găsit nicio dovadă că vreun software antivirus implementat în prezent va scana fișierele conținute într-un fișier VHD sau VHDX. Cu toate acestea, pentru cei care conduc o întreprindere, lipsa capacității de a scana aceste fișiere lasă un unghi mort pentru anumite fișiere până când acestea ajung la punctul final. Dacă conținutul fișierelor VHD și VHDX nu este scanat de către produsele de securitate pentru e-mail și gateway-uri web, aceste produse nu au nicio speranță de a detecta programele malware conținute în fișierele VHD sau VHDX.
Am creat un VHD care conține fișierul de testare anti-malware EICAR și am încărcat acest fișier în VirusTotal. Iată rezultatele:
Nu există nicio dovadă că vreunul dintre scanerele configurate în VirusTotal a scanat conținutul unui fișier VHD.
Fișiere ISO și IMG
Malware-ul răspândit prin intermediul fișierelor ISO se întâmplă deja în natură. La fel ca în cazul fișierelor VHD și VHDX, conținutul fișierelor ISO sau IMG nu poartă MOTW-ul fișierului care îl conține. Și, la fel ca în cazul fișierelor VHD și VHDX, începând cu Windows 8, fișierele ISO și IMG pot fi deschise cu un dublu clic. Cu toate acestea, spre deosebire de fișierele VHD și VHDX, există o șansă mai mare ca un produs antivirus implementat să detecteze programele malware conținute într-un fișier ISO sau IMG.
Am efectuat același test EICAR ca mai sus cu VirusTotal, dar de data aceasta fișierul eicar.com a fost detectat în cadrul unui fișier ISO. Iată rezultatele:
În timp ce aceste rezultate nu sunt grozave, există cel puțin unele dovezi că unele produse de securitate vor scana conținutul unui fișier ISO.
Concluzie și recomandări
Filele VHD și VHDX pot fi periculoase. Datorită combinației dintre analiza sistemului de fișiere la nivel de kernel și, de asemenea, lipsa etichetării MOTW a conținutului lor, permițând ca fișierele VHD sau VHDX să ajungă la punctele finale crește riscul prezentat pentru aceste sisteme. Următoarele strategii pot ajuta la minimizarea acestui risc:
- Blocați fișierele VHD, VHDX, IMG și ISO la gateway-urile de e-mail.
- Dezînregistrați extensiile de fișiere VHD, VHDX, IMG și ISO în Microsoft Windows Explorer.
- Restrângeți fișierele VHD, VHDX, IMG și ISO la gateway-urile web. (Există unele motive legitime pentru ca aceste fișiere să fie descărcate, așa că asigurați-vă că orice restricție nu blochează nevoile legitime de afaceri.)
.