В проекте iVentoy выявлена подстановка корневого сертификата при запуске Windows. Разработчики объяснили это штатной работой и убрали в новой версии. Решение позволяет устанавливать на ПК ОС Windows, WinPE и различные дистрибутивы Linux по сети. Это продолжение открытого проекта Ventoy для мультизагрузки образов ОС.
iVentoy представляет собой «расширенную версию» сервера PXE (Preboot Execution Environment), где можно размещать загрузочные образы разных ОС и потом устанавливать их на клиентские компьютеры в локальной сети. Они уточнили, что специально сделали простой в использовании и без сложной настройки инструмент для системных администраторов.
По информации OpenNET, При загрузке по сети ОС Windows инструментарий iVentoy осуществляет подстановку в систему бинарного драйвера httpdisk.sys и установку в системное хранилище корневых сертификатов своего самоподписанного сертификата, применяемого для заверения драйвера цифровой подписью. Также 31 из 70 антивирусных пакетов, в которых был проверен файл httpdisk.sys, выдали предупреждение о наличии вредоносного ПО.
Разработчики проекта NixOS предложили заменить Ventoy в репозитории nixpkgs на форк fnr1r (как альтернатива также может рассматриваться glim). Проекты Ventoy и iVentoy развиваются одним автором и имеют похожее назначение. Отличия в том, что Ventoy полностью открыт и нацелен на загрузку операционных систем с USB‑носителей, а iVentoy является лишь частично открытым и предназначен для загрузки по сети с использованием технологии PXE.
К обсуждению проблемы подключился автор проектов Ventoy и iVentoy, который пояснил, что код драйвера httpdisk.sys является открытым, а сам драйвер предназначен для монтирования в Windows дисковых образов по сети поверх протокола HTTP, что используется в iVentoy для получения с сервера установочных данных Windows. Подстановка драйверов и скриптов в систему после загрузки является документированным поведением.
Собственный сертификат, при помощи которого был подписан этот драйвер, был добавлен в хранилище корневых сертификатов для того, чтобы обеспечить загрузку драйвера в обход применяемой в Windows системы верификации программ по цифровой подписи. Сертификат подставлялся только в одноразовое окружение WinPE (Windows Preinstallation Environment), создаваемое в оперативной памяти. В размещаемые на диске стационарные установки Windows изменения не вносились. Заявлено, что в следующем выпуске iVentoy подстановка своего сертификата будет прекращена, так как для обеспечения загрузки драйвера будет использован запуск WinPE в тестовом режиме.
После критики сообщества и обращения внимания на этот инцидент профильными экспертами разработчики представили выпуск iVentoy 1.0.21, в котором прекращена установка своего сертификата (для подписи теперь задействован сертификат WDKTestCert), а также добавлено пояснение про драйвер httpdisk и информация о том, что iVentoy и Ventoy совершенно разные продукты.
