VHD- och VHDX-filer
Filformatet VHD (Virtual Hard Disk), som ursprungligen introducerades med Connectix Virtual PC, kan lagra innehållet på en hårddisk. Så småningom antog Microsoft Hyper-V detta format för diskavbildningar. Windows 7 och nyare system inkluderar möjligheten att manuellt montera VHD-filer. Från och med Windows 8 kan en användare montera en VHD-fil genom att dubbelklicka på filen. När den har monterats visas en VHD-diskavbildning för Windows som en vanlig hårddisk som är fysiskt ansluten till systemet. VHDX-avbildningar (Virtual Hard Disk v2) är funktionellt likvärdiga med VHD-avbildningar, men de innehåller modernare funktioner, t.ex. stöd för större storlekar och diskanpassning.
VHD/VHDX och filsystemkorruption
Efter att ha fuzzat filsystemavbildningar med BFF kunde jag hitta flera olika sätt att krascha Windows som ett resultat av att det monterar en skadad disk. Att fysiskt koppla in en USB-masslagringsenhet med ett skadat filsystem var den uppenbara angreppsvektorn. Många säkerhetskoncept upphävs dock när fysisk åtkomst till ett system beviljas. VHD- och VHDX-filer eliminerar kravet på fysisk åtkomst till offrets system. Om en användare bara dubbelklickar på en VHD- eller VHDX-fil som innehåller ett specialtillverkat filsystem riskerar han eller hon att få Windows att krascha eller värre, vilket illustreras nedan.
Mark of the Web
Mark of the Web (MOTW) infördes i Windows XP SP2 och gjorde det möjligt för Windows att märka filer i det lokala filsystemet med information om den säkerhetszon i Internet Explorer som filerna härrörde från. Denna MOTW-funktion har utvecklats för att hantera fler och fler filtyper och scenarier. Det återkommande temat är att filer som kommer från Internet (t.ex. en webbsida eller ett e-postmeddelande) kan vara farliga och bör därför behandlas med större försiktighet.
Från och med Microsoft Office 2010 öppnas till exempel dokument som är märkta med en MOTW som anger att de kommer från Internet i Microsoft Office Protected View. Dokument i skyddad vy är begränsade i vad de kan göra, vilket minskar angreppsytan för potentiellt farliga dokument. Så här kan en användare se när han eller hon öppnar ett dokument i Skyddad vy:
Från och med Windows 10 begränsar Windows Defender SmartScreen exekveringen av vissa filtyper om de kommer från Internet. Så här kan en användare se när SmartScreen blockerar en osäker körbar fil:
Hur vet Windows om en fil kommer från Internet? Det använder MOTW-taggen som är kopplad till filen i fråga. Om Windows Explorer eller andra ZIP-verktyg som uppfyller kraven används för att extrahera innehållet i en ZIP-fil har varje fil som ingår i en ZIP-fil MOTW för ZIP-filbehållaren.
VHD/VHDX-filer och MOTW
Från ett användarupplevelseperspektiv kan VHD- och VHDX-filer, från och med Windows 8, ha en funktion som liknar ZIP-filer. Det vill säga att användaren dubbelklickar på filen för att visa dess innehåll i Windows Explorer. Den viktiga skillnaden är att de filer som ingår i en VHD- eller VHDX-behållare inte behåller behållarfilens MOTW.
Vad innebär detta ur slutanvändarens perspektiv? Alla filer som ingår i en VHD- eller VHDX-fil får inte samma skydd som Windows ger mot filer som kommer från Internet. För att hjälpa till att förstå vad det innebär har jag skapat en video som visar flera skillnader mellan en MOTW-märkt fil (i en ZIP-fil) och en fil som inte innehåller MOTW-märkningen (i en VHD-fil):
VHD/VHDX-filer och antivirus
Jag har inte funnit något som tyder på att någon av de antivirusprogram som för närvarande används kommer att skanna filerna som finns i en VHD- eller VHDX-fil. För dem som driver ett företag lämnar dock bristen på möjlighet att skanna dessa filer en blind fläck för vissa filer tills de anländer till slutpunkten. Om innehållet i VHD- och VHDX-filer inte skannas av säkerhetsprodukter för e-post och webbgränssnitt har dessa produkter inget hopp om att upptäcka skadlig kod som finns i VHD- eller VHDX-filer.
Jag skapade en VHD som innehåller EICAR:s testfil mot skadlig kod och laddade upp den filen till VirusTotal. Här är resultaten:
Det finns inga bevis för att någon av de skannrar som konfigurerats i VirusTotal har skannat innehållet i en VHD-fil.
ISO- och IMG-filer
Skadlig kod som sprids via ISO-filer förekommer redan i naturen. Precis som VHD- och VHDX-filer bär innehållet i ISO- eller IMG-filer inte MOTW för den ingående filen. Precis som VHD- och VHDX-filer kan ISO- och IMG-filer öppnas med ett dubbelklick från och med Windows 8. Till skillnad från VHD- och VHDX-filer finns det dock en större chans att en installerad antivirusprodukt upptäcker skadlig kod som finns i en ISO- eller IMG-fil.
Jag utförde samma EICAR-test som ovan med VirusTotal, men den här gången upptäcktes filen eicar.com i en ISO-fil. Här är resultaten:
Och även om dessa resultat inte är fantastiska finns det åtminstone vissa bevis för att vissa säkerhetsprodukter skannar filinnehållet i en ISO-fil.
Slutsats och rekommendationer
VHD- och VHDX-filer kan vara farliga. På grund av kombinationen av analys av filsystemet på kärnnivå och avsaknaden av MOTW-märkning av deras innehåll ökar risken för dessa system om VHD- eller VHDX-filer når fram till slutpunkterna. Följande strategier kan bidra till att minimera denna risk:
- Blocka VHD-, VHDX-, IMG- och ISO-filer vid e-postportaler.
- Avregistrera VHD-, VHDX-, IMG- och ISO-filtillägg i Microsoft Windows Explorer.
- Begränsar VHD-, VHDX-, IMG- och ISO-filer vid webbportaler. (Det finns vissa legitima skäl till att dessa filer laddas ner, så se till att eventuella begränsningar inte blockerar legitima affärsbehov.)