CERT виявив, що образи диска у форматах VHD та VHDX можна використовувати для обходу антивірусів
CERT виявив, що образи диска у форматах VHD та VHDX можна використовувати для обходу антивірусів
Дослідник із Координаційного центру CERT виявив «сліпу зону» системи Windows та антивірусних програм — образи диска у форматах VHD та VHDX. Як з'ясувалося, файли, що знаходяться всередині образів, не перевірятимуться антивірусними програмами, поки користувач не змонтує образ і не запустить їх.
Вертуальний жорсткий диск (VHD) може зберігати вміст жорсткого диска. Після підключення образ VHD-диска відображається у Windows як звичайний жорсткий диск, фізично підключений до системи. Образи VHDX (Virtual Hard Disk v2) функціонально еквівалентні VHD, але включають більш сучасні функції, такі як підтримка великих розмірів та зміна розміру диска.
Дослідник зміг знайти кілька способів аварійного завершення роботи Windows у результаті підключення пошкодженого диска. Файли VHD та VHDX усувають необхідність фізичного доступу до системи. Користувачеві достатньо двічі клацнути на файл VHD або VHDX зі спеціально сформованою файловою системою, що може призвести до завершення роботи системи.
Операційна система Windows вміє відрізняти ступінь небезпеки даних на основі їхнього джерела. Для цього система означає файли ярликом Mark of the Web (MOTW), видаючи їм лише обмежений доступ до ресурсів комп'ютера. Користувачі в цій ситуації бачать спеціальне попередження про потенційний ризик запуску файлів, завантажених з Інтернету. Ярлик MOTW надається всім завантаженим з інтернету файлам, включаючи архіви.
Проте цей принцип не поширюється на файли образів VHD і VHDX, незважаючи на їх схожість із ZIP-архівами. Будь-який файл, що знаходиться всередині VHD і VHDX, не буде розцінюватися Windows як потенційна загроза, як це відбувається з іншими типами файлів, завантажених з Мережі.
Дослідник не знайшов жодного антивірусного ПЗ, здатного сканувати файли, що містяться в VHD або VHDX. Якщо вміст файлів VHD і VHDX не сканується рішеннями безпеки електронної пошти та web-шлюзів, система не має шансів виявити шкідливі програми, що містяться у файлах VHD або VHDX.
З метою безпеки дослідник рекомендує блокувати файли VHD та VHDX на поштових шлюзах та скасувати реєстрацію розширень даних файлів у «Провіднику» Windows.