Attenzione al contenuto dei file VHD e VHDX: può essere eseguito da Windows

Una particolarità secondo noi da tenere in considerazione. Windows e i software antimalware trattano il contenuto delle immagini salvate in formato VHD e VHDX (formato utilizzato di default da Microsoft Hyper-V per la gestione delle macchine virtuali) come una sorta di black box: la scansione dei file all’interno di questi contenitori non avviene fino a quando l’immagine non viene montata e i file vengono caricati.

Una volta montato sul sistema, il contenuto delle immagini VHD e VHDX appare come un’unità fisica e viene esposto al sistema operativo così come a tutte le applicazioni installate.

Windows garantisce diversi livelli di fiducia ai file, a seconda della loro origine. I file scaricati dalla rete Internet hanno maggiori probabilità di essere dannosi e vengono quindi gestiti con maggiore cautela.
Per i file provenienti da Internet, Windows applica una speciale etichetta (MOTW, Mark of the Web) per riconoscere immediatamente quali elementi devono avere un accesso limitato alle risorse della macchina. Quando un utente cerca di aprirli, viene mostrato un messaggio di allerta che informa sulla provenienza “incerta” dei file.

Il fatto è che per i file in formato VHD e VHDX, Windows non applica alcuna etichetta MOTW. Will Dormann, analista presso CERT/CC, ritiene discutibile il comportamento del sistema operativo Microsoft mostrando in video come, ad esempio, viene gestito un archivio Zip scaricato da Internet e un file VHD.

File contenuti nell’archivio Zip che di norma vengono automaticamente bloccati da Windows vengono invece eseguiti senza colpo ferire nel caso dei formati VHD e VHDX.
La diffusione di file VHD e VHDX dal contenuto malevolo può essere quindi sfruttata da parte dei criminali informatici per superare le difese di base e avere la possibilità di eseguire codice nocivo sulla macchina della vittima.

Anche gli sviluppatori di antimalware si comportano allo stesso modo ignorando quello che secondo Dormann è un aspetto che meriterebbe maggiore attenzione.
Il ricercatore ha provato a inserire un file di test (EICAR) che – se aggiunto in un file Zip compresso – produce immediatamente una segnalazione da parte dei vari motori di scansione antivirus. Lo stesso oggetto, salvato all’interno di un file VHD o VHDX, viene del tutto ignorato a conferma che i motori antimalware non esaminano tali tipi di file.

“Se il contenuto dei file VHD e VHDX non viene analizzato dai prodotti per la sicurezza sui gateway per la gestione della posta elettronica e dei servizi web, questi prodotti non riusciranno mai a rilevare la presenza di eventuali malware“, ha aggiunto Dormann.
Quanto rilevato da Dormann è stato confermato anche da altri ricercatori che hanno certificato come nessun antimalware reagisca alla presenza di malware nei file VHD e VHDX.
Vale la pena evidenziare che, nonostante l’assenza dell’etichetta MOTW, file in formato IMG e ISO vengono correttamente trattati dalle varie soluzioni antivirus.

È vero che i file VHD e VHDX sono generalmente di grandi dimensioni, trattandosi di vere e proprie immagini di interi sistemi e singole unità di memorizzazione, ma gli utenti malintenzionati possono creare file di pochi chilobyte o megabyte allegandoli anche ai normali messaggi di posta elettronica.

Dormann suggerisce agli amministratori di sistema di bloccare o limitare il download di file VHD, VHDX, ISO e IMG a livello di gateway e di disattivare l’associazione degli stessi file in Windows in modo che non vengano automaticamente aperti con un doppio clic.

Anche Chrome e Gmail sono “ciechi” nei confronti dei file in formato VHD e VHDX

Il ricercatore indipendente Jan Poulsen ha accertato che file VHD e VHDX malevoli superano agevolmente anche le difese di Chrome e Gmail: sia il browser di Google che l’applicazione web per la gestione della posta elettronica usano una serie di difese riconoscendo e bloccando elementi potenzialmente nocivi.
In entrambi i casi i file VHD e VHDX non vengono controllati come invece accade per molti altri formati (si pensi ai principali archivi compressi).

Ovviamente il codice malevolo che sarà caricato dopo l’operazione di mounting del file VHD e VDHX può essere riconosciuto dai prodotti antimalware in uso. I ricercatori hanno tuttavia dimostrato che impiantare malware su un PC Windows senza far scattare alcun allarme non solo è possibile, ma anche molto facile.