Chroń swój komputer przed nowym atakiem FileFix, który omija Windows MoTW

Chroń swój komputer przed nowym atakiem FileFix, który omija Windows MoTW

FileFix to nowa technika ataku, która wykorzystuje sposób, w jaki Windows i przeglądarki internetowe zarządzają procesem zapisywania stron internetowych HTML, skutecznie omijając wbudowane środki bezpieczeństwa Windows. Jeśli zostanie wykonana pomyślnie, ta metoda może prowadzić do poważnych naruszeń bezpieczeństwa, w tym wdrażania oprogramowania ransomware, kradzieży danych uwierzytelniających i instalacji różnych form złośliwego oprogramowania. W tym kompleksowym przewodniku przyjrzymy się kluczowym strategiom ochrony komputera przed potencjalnymi zagrożeniami FileFix.

Zrozumienie mechaniki ataku FileFix

Odkryty przez eksperta ds.bezpieczeństwa mr.d0x atak FileFix manipuluje obsługą lokalnych plików aplikacji HTML i funkcją zabezpieczeń Mark of the Web (MoTW) w systemie Windows. Gdy użytkownicy korzystają z opcji „Zapisz jako” na stronie internetowej, przeglądarki zazwyczaj nie oznaczają jej tagiem MoTW, który ma ostrzegać systemy bezpieczeństwa, takie jak Windows Security, aby przeskanowały plik pod kątem złośliwej zawartości.

Ponadto, gdy plik jest zapisywany z rozszerzeniem.hta (plik aplikacji HTML), może zostać natychmiast uruchomiony na bieżącym koncie użytkownika bez przechodzenia kontroli bezpieczeństwa. Złośliwa strona internetowa może oszukać użytkowników, aby zapisali ją jako plik.hta, umożliwiając w ten sposób uruchomienie wstawionego szkodliwego kodu natychmiast po otwarciu pliku, unikając wykrycia przez systemy bezpieczeństwa Windows.

Podczas gdy przekonywanie użytkowników do zapisywania złośliwego pliku jest z natury trudne, można zastosować taktyki podobne do tych stosowanych przez EDDIESTEALER. Obejmuje to metody inżynierii społecznej, które manipulują osobami, aby zapisywały poufne informacje, takie jak kody MFA, z mylącymi rozszerzeniami hta.

Istnieje wiele środków zapobiegawczych, które mogą skutecznie zablokować ten wektor ataku. Poniżej przedstawiono kilka kluczowych strategii.

Unikaj podejrzanych stron internetowych

Pierwszym krokiem w ataku FileFix jest zapisanie złośliwej strony internetowej; zatem unikanie takich witryn całkowicie zapobiega atakowi. Zawsze używaj aktualnych przeglądarek, takich jak Chrome, Edge lub Firefox, które zawierają funkcje wykrywania phishingu i ochrony przed złośliwym oprogramowaniem. W Google Chrome włączenie Enhanced Protection może zapewnić wykrywanie zagrożeń w czasie rzeczywistym za pomocą sztucznej inteligencji.

Wiele złośliwych witryn jest rozprzestrzenianych za pośrednictwem wiadomości e-mail phishingowych podszywających się pod legalne źródła. Umiejętność identyfikacji tych wiadomości e-mail jest kluczowa, a unikanie interakcji z nimi może znacznie zmniejszyć ryzyko stania się ofiarą różnych cyberzagrożeń. Jeśli przypadkowo trafisz na podejrzaną witrynę, istnieją skuteczne sposoby oceny jej legalności.

Widoczność rozszerzeń plików w systemie Windows

W systemie Windows 11 rozszerzenia plików są domyślnie ukryte, co powoduje, że użytkownicy nie zauważają zmian z.html na.hta. Aby temu zaradzić, zaleca się, aby rozszerzenia plików były widoczne, dzięki czemu użytkownicy będą mogli rozpoznać rzeczywisty typ pliku niezależnie od wszelkich mylących nazw.

Aby włączyć widoczność rozszerzeń plików, wykonaj następujące kroki:

  • Otwórz Eksplorator plików.
  • Kliknij przycisk Zobacz więcej (trzy kropki) i wybierz Opcje.
  • Przejdź do karty Widok i odznacz pole wyboru Ukryj rozszerzenia znanych typów plików.
Włączanie rozszerzeń plików w opcjach Eksploratora plików systemu Windows

Dzięki tej zmianie rozszerzenia plików będą wyświetlane nawet w oknie pobierania podczas zapisywania strony internetowej.

Okno dialogowe pobierania pliku w systemie Windows z wyświetlonym rozszerzeniem pliku

Ustaw Notatnik jako domyślny program dla plików.hta

Mshta to domyślna aplikacja odpowiedzialna za wykonywanie plików.hta. Po ponownym przypisaniu skojarzenia pliku.hta do Notatnika pliki te zostaną otwarte jako dokumenty tekstowe zamiast uruchamiania skryptów, zapobiegając w ten sposób wykonywaniu potencjalnie szkodliwej zawartości.

Ta zmiana raczej nie zakłóci pracy zwykłych użytkowników, ponieważ skrypty hta są używane głównie przez specjalistów IT lub w określonych aplikacjach korporacyjnych. Aby wdrożyć tę zmianę, wykonaj następujące czynności:

  • Otwórz Ustawienia systemu Windows i przejdź do Aplikacje -> Aplikacje domyślne.
  • W pasku wyszukiwania pod opcją Ustaw wartość domyślną dla typu pliku lub typu łącza wpisz „.hta”.
Ustawianie Notatnika jako domyślnej aplikacji w ustawieniach systemu Windows

Wyłączanie Mshta w celu zapobiegania wykonywaniu kodu HTML

Dodatkowa metoda zapobiegawcza polega na całkowitym wyłączeniu aplikacji Mshta, aby uniemożliwić wykonywanie wszystkich skryptów hta. Można to osiągnąć, zmieniając nazwę pliku „mshta.exe” na „mshta.exe.disabled”.Aby przeprowadzić tę zmianę, użytkownicy muszą upewnić się, że rozszerzenia plików są widoczne.

Zlokalizuj plik Mshta w katalogach „C:\Windows\System32” i „C:\Windows\SysWOW64”, zmień nazwę pliku „mshta.exe” na „mshta.exe.disabled”, będąc zalogowanym jako administrator. W razie potrzeby przejmij własność pliku. Cofnięcie tej zmiany jest po prostu kwestią przywrócenia oryginalnej nazwy pliku.

Zmiana nazwy aplikacji Mshta w systemie Windows 11

W miarę jak świadomość tej podatności rośnie, prawdopodobne jest, że Microsoft udoskonali modyfikacje związane z zastosowaniem MoTW w przyszłych aktualizacjach. Zawsze upewnij się, że Twój system operacyjny Windows jest zaktualizowany i zachowaj domyślne funkcje bezpieczeństwa aktywne, aby potencjalnie wykrywać szkodliwe skrypty podczas ich wykonywania.

Źródło i obrazy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *