Захист Windows і антивірусів можна обійти за допомогою образів VHD і VHDX

09:19
Захист Windows і антивірусів можна обійти за допомогою образів VHD і VHDX

    Система Windows і антивірусні програми мають «сліпу зону» — образи диска в форматах VHD і VHDX. За словами фахівців, файли що знаходяться там не будуть скануватися до тих пір, поки образ не змонтують і файли не запустять. Формат VHD і його більш сучасна версія VHDX представляють собою образи дисків, які поводяться подібно фізичним носіям. Зловмисники можуть помістити шкідливу програму всередину таких образів і обманом змусити жертву завантажити їх. В результаті, як вважають експерти, атакуючі зможуть обійти захисні рішення в Windows. Таку інформацію повідомив дослідник в області безпеки і фахівець з уязвимостям Уїлл Дорманн, що працює в CERT / CC. 

Відомо, що операційна система Windows вміє відрізняти ступінь небезпеки даних на основі їх джерела. Зазвичай до всього, що скачується з інтернету, Windows ставиться з підозрою, так як висока ймовірність завантаження шкідливого вмісту. ОС маркує такі файли ярликом Mark of the Web (MOTW), це допомагає видавати їм обмежені права до ресурсів комп'ютера. У таких випадках користувачі бачать спеціальне попередження про потенційний ризик запуску файлів, отриманих з Мережі. MOTW отримують всі файли, що завантажені з інтернету, включаючи архіви:

 Проте цей принцип чомусь не торкається файлів образів VHD і VHDX, хоча вони і поводяться схоже з ZIP-архівами. 
  «Будь-який файл, що перебуває всередині VHD і VHDX не буде розцінюватися Windows в якості потенційної загрози, як це відбувається з іншими типами файлів, завантажених з Мережі», — пояснює експерт. Спеціаліст опублікував відео для наочної демонстрації його висновків:

    youtu.be/09GDJjBufdQ

    При цьому Дорманн підкреслив, що антивірусні програми також ігнорують ці формати. Жоден з двигунів, представлених на майданчику сервісу VirtusTotal, не пізнав в VHD потенційну загрозу.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.