09/09/19
Исследователь Уилл Дорманн (Will Dormann) из Координационного центра CERT обнаружил «слепую зону» системы Windows и антивирусных программ — образы диска в форматах VHD и VHDX. Как выяснил Дорманн, находящиеся внутри образов файлы не будут проверяться антивирусными программами, пока пользователь не смонтирует образ и не запустит их.
Формат файла VHD (виртуальный жесткий диск) может хранить содержимое жесткого диска. После подключения образ VHD-диска отображается в Windows как обычный жесткий диск, физически подключенный к системе. Образы VHDX (Virtual Hard Disk v2) функционально эквивалентны VHD, но включают более современные функции, такие как поддержка больших размеров и изменение размера диска.
Исследователь смог найти несколько способов аварийного завершения работы Windows в результате подключения поврежденного диска. Файлы VHD и VHDX устраняют необходимость физического доступа к системе. Пользователю достаточно дважды кликнуть на файл VHD или VHDX со специально сформированной файловой системой, что может привести к завершению работы системы.
Операционная система Windows умеет отличать степень опасности данных на основе их источника. Для этого система обозначает файлы ярлыком Mark of the Web (MOTW), выдавая им лишь ограниченный доступ к ресурсам компьютера. Пользователи в данной ситуации видят специальное предупреждение о потенциальном риске запуска файлов, скачанных из интернета. Ярлык MOTW присваивается всем загруженным из интернета файлам, включая архивы.
Однако данный принцип не распространяется на файлы образов VHD и VHDX, несмотря на их сходство с ZIP-архивами. Любой находящийся внутри VHD и VHDX файл не будет расцениваться Windows в качестве потенциальной угрозы, как это происходит с другими типами файлов, загруженных из Сети.
Дорманн не нашел ни одного антивирусного ПО, способного сканировать файлы, содержащиеся в VHD или VHDX. Если содержимое файлов VHD и VHDX не сканируется решениями безопасности электронной почты и web-шлюзов, у системы нет шансов обнаружить вредоносные программы, содержащихся в файлах VHD или VHDX.
В целях безопасности исследователь рекомендует блокировать файлы VHD и VHDX на почтовых шлюзах и отменить регистрацию расширений данных файлов в «Проводнике» Windows.
