VHD- und VHDX-Dateien
Das VHD-Dateiformat (Virtual Hard Disk), das ursprünglich mit Connectix Virtual PC eingeführt wurde, kann den Inhalt einer Festplatte speichern. Schließlich übernahm Microsoft Hyper-V dieses Format für Festplattenabbilder. Windows 7 und neuere Systeme bieten die Möglichkeit, VHD-Dateien manuell zu mounten. Ab Windows 8 kann ein Benutzer eine VHD-Datei durch einen einfachen Doppelklick auf die Datei einbinden. Nach dem Einbinden erscheint ein VHD-Datenträgerabbild für Windows wie eine normale Festplatte, die physisch mit dem System verbunden ist. VHDX-Images (Virtual Hard Disk v2) entsprechen funktionell den VHD-Images, bieten aber modernere Funktionen wie Unterstützung für größere Festplatten und Größenanpassung.
VHD/VHDX und Dateisystembeschädigung
Nachdem ich Dateisystem-Images mit BFF untersucht habe, konnte ich mehrere Möglichkeiten finden, Windows zum Absturz zu bringen, wenn es eine beschädigte Festplatte einbindet. Das physische Einstecken eines USB-Massenspeichers mit beschädigtem Dateisystem war der offensichtliche Angriffsvektor. Viele Sicherheitskonzepte werden jedoch außer Kraft gesetzt, wenn physischer Zugriff auf ein System gewährt wird. Bei VHD- und VHDX-Dateien ist kein physischer Zugang zu einem Opfersystem erforderlich. Wenn ein Benutzer einfach auf eine VHD- oder VHDX-Datei doppelklickt, die ein speziell präpariertes Dateisystem enthält, riskiert er einen Absturz von Windows oder Schlimmeres, wie unten dargestellt.
Mark of the Web
Mark of the Web (MOTW) wurde in Windows XP SP2 eingeführt und ermöglichte es Windows, Dateien im lokalen Dateisystem mit Informationen über die Internet Explorer-Sicherheitszone zu versehen, aus der die Dateien stammen. Diese MOTW-Funktion wurde weiterentwickelt, um immer mehr Dateitypen und Szenarien zu behandeln. Das wiederkehrende Thema ist, dass Dateien, die aus dem Internet stammen (z. B. eine Webseite oder eine E-Mail), gefährlich sein können und daher mit größerer Vorsicht behandelt werden sollten.
Seit Microsoft Office 2010 werden beispielsweise Dokumente, die mit einem MOTW gekennzeichnet sind, das angibt, dass sie aus dem Internet stammen, in der geschützten Ansicht von Microsoft Office geöffnet. Dokumente in der geschützten Ansicht sind in ihren Möglichkeiten eingeschränkt, wodurch die Angriffsfläche für potenziell gefährliche Dokumente verringert wird. So sieht ein Benutzer aus, wenn er ein Dokument in der geschützten Ansicht öffnet:
Ab Windows 10 schränkt Windows Defender SmartScreen die Ausführung bestimmter Dateitypen ein, wenn diese aus dem Internet stammen. Hier ist, was ein Benutzer sehen könnte, wenn SmartScreen eine unsichere ausführbare Datei blockiert:
Woher weiß Windows, ob eine Datei aus dem Internet stammt? Es verwendet das MOTW-Tag, das mit der betreffenden Datei verknüpft ist. Wenn der Windows Explorer oder andere konforme ZIP-Dienstprogramme verwendet werden, um den Inhalt einer ZIP-Datei zu extrahieren, trägt jede in einer ZIP-Datei enthaltene Datei das MOTW des ZIP-Dateicontainers.
VHD/VHDX-Dateien und MOTW
Aus Sicht der Benutzererfahrung können VHD- und VHDX-Dateien ab Windows 8 eine ähnliche Funktion wie ZIP-Dateien haben. Das heißt, der Benutzer klickt doppelt auf die Datei, um ihren Inhalt im Windows Explorer anzuzeigen. Der wichtige Unterschied besteht darin, dass die in einem VHD- oder VHDX-Container enthaltenen Dateien das MOTW der Containerdatei nicht beibehalten.
Was bedeutet dies aus Sicht des Endbenutzers? Jede Datei, die in einer VHD- oder VHDX-Datei enthalten ist, genießt nicht denselben Schutz, den Windows gegen Dateien bietet, die aus dem Internet stammen. Um zu verstehen, was das bedeutet, habe ich ein Video erstellt, das einige Unterschiede zwischen einer Datei mit MOTW-Tag (in einer ZIP-Datei) und einer Datei ohne MOTW-Tag (in einer VHD-Datei) aufzeigt:
VHD/VHDX-Dateien und Antivirus
Ich habe keine Hinweise darauf gefunden, dass derzeit eingesetzte Antivirus-Software die in einer VHD- oder VHDX-Datei enthaltenen Dateien überprüft. Für Unternehmen bedeutet die fehlende Möglichkeit, diese Dateien zu scannen, einen blinden Fleck für bestimmte Dateien, bis sie am Endpunkt ankommen. Wenn der Inhalt von VHD- und VHDX-Dateien nicht von E-Mail- und Web-Gateway-Sicherheitsprodukten gescannt wird, haben diese Produkte keine Chance, in VHD- oder VHDX-Dateien enthaltene Malware zu erkennen.
Ich habe eine VHD erstellt, die die EICAR Anti-Malware-Testdatei enthält, und diese Datei zu VirusTotal hochgeladen. Hier sind die Ergebnisse:
Es gibt keinen Hinweis darauf, dass einer der in VirusTotal konfigurierten Scanner den Inhalt einer VHD-Datei gescannt hat.
ISO- und IMG-Dateien
Malware, die über ISO-Dateien verbreitet wird, ist bereits in freier Wildbahn unterwegs. Genau wie VHD- und VHDX-Dateien tragen die Inhalte von ISO- oder IMG-Dateien nicht das MOTW der enthaltenen Datei. Und genau wie VHD- und VHDX-Dateien können ISO- und IMG-Dateien ab Windows 8 mit einem Doppelklick geöffnet werden. Im Gegensatz zu VHD- und VHDX-Dateien besteht jedoch eine größere Chance, dass ein eingesetztes Antivirenprodukt Malware erkennt, die in einer ISO- oder IMG-Datei enthalten ist.
Ich habe denselben EICAR-Test wie oben mit VirusTotal durchgeführt, aber dieses Mal wurde die Datei eicar.com in einer ISO-Datei erkannt. Hier sind die Ergebnisse:
Während diese Ergebnisse nicht großartig sind, gibt es zumindest einige Hinweise darauf, dass einige Sicherheitsprodukte den Dateiinhalt einer ISO-Datei scannen.
Schlussfolgerung und Empfehlungen
VHD- und VHDX-Dateien können gefährlich sein. Aufgrund der Kombination von Dateisystem-Parsing auf Kernel-Ebene und der fehlenden MOTW-Kennzeichnung ihrer Inhalte erhöht sich das Risiko für diese Systeme, wenn VHD- oder VHDX-Dateien an Endpunkten ankommen. Die folgenden Strategien können dazu beitragen, dieses Risiko zu minimieren:
- VHD-, VHDX-, IMG- und ISO-Dateien an E-Mail-Gateways blockieren.
- Die Registrierung der Dateierweiterungen VHD, VHDX, IMG und ISO im Microsoft Windows Explorer aufheben.
- VHD-, VHDX-, IMG- und ISO-Dateien an Web-Gateways einschränken. (Es gibt einige legitime Gründe für das Herunterladen dieser Dateien, stellen Sie also sicher, dass die Beschränkungen keine legitimen geschäftlichen Anforderungen blockieren)