FileFix ist eine neue Angriffstechnik, die die Art und Weise ausnutzt, wie Windows und Webbrowser den Speichervorgang von HTML-Webseiten verwalten, und so die integrierten Windows-Sicherheitsmaßnahmen effektiv umgeht. Bei erfolgreicher Ausführung kann diese Methode zu schwerwiegenden Sicherheitsverletzungen führen, darunter Ransomware-Ausbreitung, Diebstahl von Anmeldeinformationen und die Installation verschiedener Formen von Malware. In diesem umfassenden Leitfaden erläutern wir die wichtigsten Strategien zum Schutz Ihres Computers vor potenziellen FileFix-Bedrohungen.
Die Mechanik eines FileFix-Angriffs verstehen
Der vom Sicherheitsexperten mr.d0x aufgedeckte FileFix-Angriff manipuliert die Verarbeitung lokaler HTML-Anwendungsdateien und die Sicherheitsfunktion Mark of the Web (MoTW) in Windows. Wenn Benutzer die Option „Speichern unter“ auf einer Webseite verwenden, versäumen Browser es in der Regel, diese mit MoTW zu kennzeichnen. Dies soll Sicherheitssysteme wie Windows Security darauf aufmerksam machen, die Datei auf schädliche Inhalte zu prüfen.
Wenn eine Datei mit der Erweiterung.hta (HTML-Anwendungsdatei) gespeichert wird, kann sie außerdem sofort unter dem aktuellen Benutzerkonto ausgeführt werden, ohne dass Sicherheitsprüfungen durchgeführt werden. Eine bösartige Website kann Benutzer dazu verleiten, die Datei als.hta-Datei zu speichern. Dadurch kann der eingefügte Schadcode sofort nach dem Öffnen der Datei ausgeführt werden und so der Erkennung durch Windows-Sicherheitssysteme entgehen.
Obwohl es grundsätzlich schwierig ist, Benutzer zum Speichern einer schädlichen Datei zu bewegen, können ähnliche Taktiken wie die von EDDIESTEALER eingesetzt werden. Dazu gehören Social-Engineering-Methoden, die Personen dazu bringen, vertrauliche Informationen wie MFA-Codes mit irreführenden HTA-Erweiterungen zu speichern.
Es gibt zahlreiche Präventivmaßnahmen, die diesen Angriffsvektor wirksam blockieren können. Im Folgenden finden Sie einige wichtige Strategien.
Vermeiden Sie verdächtige Webseiten
Der erste Schritt des FileFix-Angriffs besteht darin, eine schädliche Webseite zu speichern. Das Vermeiden solcher Seiten verhindert den Angriff daher vollständig. Verwenden Sie stets aktuelle Browser wie Chrome, Edge oder Firefox, die über Funktionen zur Phishing-Erkennung und zum Schutz vor Malware verfügen. In Google Chrome ermöglicht die Aktivierung des erweiterten Schutzes eine KI-gestützte Bedrohungserkennung in Echtzeit.
Viele bösartige Websites verbreiten sich durch Phishing-E-Mails, die als legitime Quellen getarnt sind. Die Identifizierung dieser E-Mails ist entscheidend. Die Vermeidung von Interaktionen mit ihnen kann das Risiko, Opfer verschiedener Cyberbedrohungen zu werden, erheblich verringern. Sollten Sie versehentlich auf einer zweifelhaften Website landen, gibt es effektive Möglichkeiten, deren Legitimität zu überprüfen.
Sichtbarkeit von Dateierweiterungen in Windows
In Windows 11 sind Dateierweiterungen standardmäßig ausgeblendet, was dazu führt, dass Benutzer Änderungen von.html zu.hta übersehen. Um dem entgegenzuwirken, empfiehlt es sich, Dateierweiterungen sichtbar zu machen, damit Benutzer den tatsächlichen Dateityp trotz irreführender Benennung erkennen können.
Um die Sichtbarkeit von Dateierweiterungen zu aktivieren, führen Sie die folgenden Schritte aus:
- Öffnen Sie den Datei-Explorer.
- Klicken Sie auf die Schaltfläche „Mehr anzeigen“ (drei Punkte) und wählen Sie „Optionen“ aus.
- Navigieren Sie zur Registerkarte „Ansicht“ und deaktivieren Sie das Kontrollkästchen „ Erweiterungen bei bekannten Dateitypen ausblenden“.
Mit dieser Änderung werden Dateierweiterungen auch im Download-Fenster beim Speichern einer Webseite angezeigt.
Legen Sie Notepad als Standardprogramm für HTA-Dateien fest
Mshta ist die Standardanwendung für die Ausführung von HTA-Dateien. Durch die Neuzuweisung der HTA-Dateizuordnung an Notepad werden diese Dateien als Textdokumente geöffnet, anstatt Skripts auszuführen. Dadurch wird die Ausführung potenziell schädlicher Inhalte verhindert.
Diese Anpassung dürfte allgemeine Benutzer nicht beeinträchtigen, da HTA-Skripte hauptsächlich von IT-Experten oder für bestimmte Unternehmensanwendungen verwendet werden. Gehen Sie wie folgt vor, um diese Änderung zu implementieren:
- Greifen Sie auf die Windows-Einstellungen zu und navigieren Sie zu Apps -> Standard-Apps.
- Geben Sie in der Suchleiste unter „Standard für einen Dateityp oder Linktyp festlegen “ „.hta“ ein.
Deaktivieren von Mshta, um die HTML-Ausführung zu verhindern
Eine weitere vorbeugende Maßnahme besteht darin, die Mshta-Anwendung vollständig zu deaktivieren, um die Ausführung aller HTA-Skripte zu verhindern. Dies kann durch die Umbenennung der Datei „mshta.exe“ in „mshta.exe.disabled“ erreicht werden. Um diese Änderung vorzunehmen, müssen Benutzer sicherstellen, dass die Dateierweiterungen sichtbar sind.
Suchen Sie die Mshta-Datei in den Verzeichnissen „C:\Windows\System32“ und „C:\Windows\SysWOW64“ und benennen Sie „mshta.exe“ in „mshta.exe.disabled“ um, während Sie als Administrator angemeldet sind.Übernehmen Sie gegebenenfalls den Eigentümer der Datei. Um diese Änderung rückgängig zu machen, müssen Sie lediglich den ursprünglichen Dateinamen wiederherstellen.
Da diese Sicherheitslücke zunehmend bekannt wird, ist es wahrscheinlich, dass Microsoft in zukünftigen Updates die Modifizierungen im Zusammenhang mit der Anwendung von MoTW verbessern wird. Stellen Sie sicher, dass Ihr Windows-Betriebssystem stets auf dem neuesten Stand ist und die Standardsicherheitsfunktionen aktiviert sind, um potenziell schädliche Skripts während ihrer Ausführung zu erkennen.
Ähnliche Artikel:
Warum die Eingabeaufforderung der ultimative Download-Manager für Windows ist
19:26
Erstellen von Visitenkarten im iPhone-Stil auf Android-Geräten
18:24
Umfassende Überwachung mit der OMBAR T1 4K Dashcam
18:22
Schreibe einen Kommentar