Підозрілий драйвер виявлений у інструменті iVentoy для мережевого завантаження операційних систем

У інструментарії iVentoy, що використовується для завантаження та встановлення через мережу різних операційних систем, виявлено підозрілу активність. Під час мережевого завантаження ОС Windows цей інструментарій підставляв у систему бінарний драйвер httpdisk.sys та встановлював у системне сховище кореневих сертифікатів свій самопідписаний сертифікат, що використовувався для завірення драйвера цифровим підписом.

31 з 70 антивірусних пакетів, якими було перевірено файл httpdisk.sys, видали попередження про наявність шкідливого програмного забезпечення.

Проблеми довіри до проєкту Ventoy

Така активність була сприйнята як потенційна спроба просування бекдору та викликала питання довіри до відкритого проєкту Ventoy. Ситуацію погіршувало те, що минулого року після інциденту з бекдором у проєкті XZ спільнота вже звертала увагу на наявність підозрілих блобів у дереві вихідних кодів Ventoy.

Розробники NixOS запропонували замінити Ventoy у репозиторії nixpkgs на форк fnr1r (як альтернатива також може розглядатися glim).

Різниця між Ventoy та iVentoy

Проєкти Ventoy і iVentoy розробляються одним автором і мають схоже призначення. Відмінності полягають у тому, що Ventoy повністю відкритий і спрямований на завантаження операційних систем з USB-носіїв, а iVentoy є лише частково відкритим і призначений для завантаження через мережу з використанням технології PXE.

Пояснення розробника щодо підозрілого драйвера у iVentoy

До обговорення проблеми долучився автор проєктів Ventoy і iVentoy, який пояснив, що код драйвера httpdisk.sys є відкритим, а сам драйвер призначений для монтування в Windows дискових образів через мережу поверх протоколу HTTP. Це використовується в iVentoy для отримання з сервера інсталяційних даних Windows.

Підстановка драйверів і скриптів у систему після завантаження є документованою поведінкою інструменту.

Використання власного сертифікату та подальші зміни

Власний сертифікат, яким було підписано цей підозрілий драйвер, було додано до сховища кореневих сертифікатів для забезпечення завантаження драйвера в обхід системи верифікації програм за цифровим підписом у Windows. Сертифікат підставлявся тільки в одноразове середовище WinPE (Windows Preinstallation Environment), що створюється в оперативній пам’яті.

У стаціонарні інсталяції Windows зміни не вносилися. Розробник заявив, що в наступній версії iVentoy підстановка власного сертифікату буде припинена, оскільки для забезпечення завантаження драйвера використовуватиметься запуск WinPE в тестовому режимі.

Ситуація з бінарними файлами у проєкті Ventoy

Щодо наявності блобів у Ventoy розробник заявив, що ці бінарні файли отримані безпосередньо з інших відкритих проєктів, і Ventoy використовує їх без внесення змін. Готові виконувані файли застосовуються у процесі налаштування систем, що запускаються.

В якості альтернативного варіанту пропонується не використовувати готові збірки, а компілювати їх для релізів Ventoy самостійно за допомогою GitHub CI.

Незважаючи на пояснення розробника, ситуація викликала занепокоєння у спільноті розробників відкритого програмного забезпечення. Тому цей випадок нагадує про важливість уважного ставлення до безпеки навіть у відкритих проєктах.