Protégez votre PC contre la nouvelle attaque FileFix qui contourne Windows MoTW

Protégez votre PC contre la nouvelle attaque FileFix qui contourne Windows MoTW

FileFix est une technique d’attaque émergente qui exploite la façon dont Windows et les navigateurs web gèrent l’enregistrement des pages web HTML, contournant ainsi efficacement les mesures de sécurité intégrées de Windows. Si elle est mise en œuvre avec succès, cette méthode peut entraîner de graves failles de sécurité, notamment le déploiement de rançongiciels, le vol d’identifiants et l’installation de divers logiciels malveillants. Dans ce guide complet, nous explorerons les stratégies clés pour protéger votre ordinateur contre les menaces potentielles de FileFix.

Comprendre les mécanismes d’une attaque FileFix

Découverte par l’expert en sécurité mr.d0x, l’attaque FileFix manipule la gestion des fichiers HTML locaux des applications et la fonctionnalité de sécurité Mark of the Web (MoTW) de Windows. Lorsque les utilisateurs utilisent l’option « Enregistrer sous » sur une page web, les navigateurs omettent généralement de la marquer avec MoTW, qui est censé alerter les systèmes de sécurité comme Windows Security afin qu’ils analysent le fichier à la recherche de contenu malveillant.

De plus, lorsqu’un fichier est enregistré avec l’extension.hta (fichier d’application HTML), il peut être exécuté immédiatement sous le compte utilisateur actuel sans subir de contrôle de sécurité. Un site web malveillant peut inciter les utilisateurs à l’enregistrer au format.hta, permettant ainsi au code malveillant inséré de s’exécuter dès l’ouverture du fichier, échappant ainsi à la détection des systèmes de sécurité Windows.

Bien qu’il soit intrinsèquement difficile de convaincre les utilisateurs d’enregistrer un fichier malveillant, des tactiques similaires à celles employées par EDDIESTEALER peuvent être employées. Il s’agit notamment de méthodes d’ingénierie sociale qui manipulent les individus pour qu’ils enregistrent des informations sensibles, telles que des codes MFA, avec des extensions.hta trompeuses.

Il existe de nombreuses mesures préventives permettant de bloquer efficacement ce vecteur d’attaque. Voici quelques stratégies clés.

Évitez les pages Web suspectes

La première étape de l’attaque FileFix consiste à enregistrer une page web malveillante ; ainsi, éviter ces sites permet d’éviter complètement l’attaque. Utilisez toujours des navigateurs à jour comme Chrome, Edge ou Firefox, qui intègrent des fonctionnalités de détection du phishing et de protection contre les logiciels malveillants. Sur Google Chrome, l’activation de la Protection renforcée permet une détection des menaces en temps réel grâce à l’IA.

De nombreux sites malveillants se propagent par le biais d’e-mails d’hameçonnage se faisant passer pour des sources légitimes. Il est crucial de pouvoir identifier ces e-mails, et éviter toute interaction avec eux peut réduire considérablement le risque d’être victime de diverses cybermenaces. Si vous tombez par inadvertance sur un site douteux, il existe des moyens efficaces d’en vérifier la légitimité.

Visibilité des extensions de fichiers sous Windows

Sous Windows 11, les extensions de fichiers sont masquées par défaut, ce qui peut conduire les utilisateurs à ignorer les modifications de.html à.hta. Pour éviter ce problème, il est conseillé de rendre les extensions de fichiers visibles, afin que les utilisateurs puissent reconnaître le type de fichier réel, indépendamment de toute dénomination trompeuse.

Pour activer la visibilité des extensions de fichiers, procédez comme suit :

  • Ouvrez l’explorateur de fichiers.
  • Appuyez sur le bouton Voir plus (trois points) et sélectionnez Options.
  • Accédez à l’ onglet Affichage et décochez la case intitulée Masquer les extensions pour les types de fichiers connus.
Activation des extensions de fichiers dans les options de l'explorateur de fichiers Windows

Avec ce changement, les extensions de fichiers seront affichées, même dans la fenêtre de téléchargement lors de l’enregistrement d’une page Web.

Boîte de dialogue de téléchargement Windows avec extension de fichier affichée

Définir le Bloc-notes comme programme par défaut pour les fichiers.hta

Mshta est l’application par défaut chargée d’exécuter les fichiers.hta. En réaffectant l’association de fichiers.hta au Bloc-notes, ces fichiers s’ouvriront comme des documents texte au lieu d’exécuter des scripts, empêchant ainsi l’exécution de contenus potentiellement dangereux.

Ce changement ne devrait pas perturber les utilisateurs, car les scripts HTA sont principalement utilisés par les professionnels de l’informatique ou pour des applications d’entreprise spécifiques. Pour mettre en œuvre ce changement, procédez comme suit :

  • Accédez aux paramètres Windows et accédez à Applications -> Applications par défaut.
  • Dans la barre de recherche, sous Définir une valeur par défaut pour un type de fichier ou un type de lien, saisissez «.hta ».
Définir le Bloc-notes comme application par défaut dans les paramètres Windows

Désactiver Mshta pour empêcher l’exécution HTML

Une méthode préventive supplémentaire consiste à désactiver complètement l’application Mshta afin d’empêcher toute exécution de script.hta. Pour ce faire, renommez le fichier « mshta.exe » en « mshta.exe.disabled ».Pour ce faire, les utilisateurs doivent s’assurer que les extensions de fichier sont visibles.

Localisez le fichier Mshta dans les répertoires « C:\Windows\System32 » et « C:\Windows\SysWOW64 », puis renommez « mshta.exe » en « mshta.exe.disabled » en étant connecté en tant qu’administrateur. Si nécessaire, prenez possession du fichier. Pour annuler cette modification, il suffit de restaurer le nom d’origine du fichier.

Modification du nom de l'application Mshta dans Windows 11

À mesure que cette vulnérabilité gagne en visibilité, il est probable que Microsoft améliore les modifications liées à l’application de MoTW dans les prochaines mises à jour. Assurez-vous toujours que votre système d’exploitation Windows est à jour et maintenez les fonctionnalités de sécurité par défaut activées pour détecter les scripts potentiellement malveillants lors de leur exécution.

Source et images

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *