Το FileFix είναι μια νέα μέθοδος επίθεσης που εκμεταλλεύεται τον τρόπο με τον οποίο τα Windows και τα προγράμματα περιήγησης χειρίζονται τη διαδικασία αποθήκευσης ιστοσελίδων HTML για να παρακάμψουν τους ελέγχους ασφαλείας των Windows. Εάν εκτελεστεί σωστά, μπορεί να θέσει σε κίνδυνο ένα σύστημα των Windows για να αναπτύξει επιθέσεις ransomware, να συλλέξει διαπιστευτήρια, ακόμη και να εγκαταστήσει νέο κακόβουλο λογισμικό. Αυτός ο οδηγός παραθέτει όλα τα μέτρα που μπορείτε να λάβετε για να προστατεύσετε τον υπολογιστή σας από μια επίθεση FileFix.
Πώς λειτουργεί η επίθεση FileFix
Όπως αποκαλύφθηκε από τον ερευνητή ασφαλείας mr.d0x, το FileFix καταχράται τον τρόπο με τον οποίο τα Windows χειρίζονται τα τοπικά αρχεία εφαρμογών HTML και τη λειτουργία ασφαλείας Mark of the Web (MoTW). Κάθε φορά που αποθηκεύετε μια ιστοσελίδα χρησιμοποιώντας τη λειτουργία “Αποθήκευση ως”, το πρόγραμμα περιήγησής σας δεν την επισημαίνει με το MoTW, το οποίο υποτίθεται ότι λέει στις λειτουργίες ασφαλείας (όπως την Ασφάλεια των Windows) να σαρώσουν το αρχείο.
Επιπλέον, εάν το αρχείο αποθηκευτεί ως .hta (αρχείο εφαρμογής HTML), μπορεί να εκτελεστεί απευθείας ως ο τρέχων χρήστης χωρίς έλεγχο ασφαλείας. Εάν μια κακόβουλη ιστοσελίδα πείσει τον χρήστη να την αποθηκεύσει και επίσης να αλλάξει το όνομά της με την επέκταση .hta, τότε ο κακόβουλος κώδικας θα ληφθεί και θα εκτελεστεί (όταν ο χρήστης ανοίξει το αρχείο) χωρίς να τον εντοπίσει η ασφάλεια των Windows.
Η κύρια δυσκολία είναι να πειστούν οι χρήστες να αποθηκεύσουν την κακόβουλη σελίδα ως αρχείο εφαρμογής HTML. Ωστόσο, όπως και με το EDDIESTEALER, αυτό είναι εφικτό χρησιμοποιώντας έξυπνα εκτελεσμένες επιθέσεις κοινωνικής μηχανικής, όπως το να πειστούν οι χρήστες να αποθηκεύσουν τους κωδικούς MFA τους με ένα συγκεκριμένο όνομα που τελειώνει σε .hta.
Ευτυχώς, υπάρχουν πολλά σημεία αναχαίτισης για να μπλοκάρετε αυτήν την επίθεση στον υπολογιστή σας. Παρακάτω είναι τα πιο αξιόπιστα.
Αποφύγετε κακόβουλες ιστοσελίδες
Η επίθεση ξεκινά αποθηκεύοντας μια κακόβουλη ιστοσελίδα, επομένως αν δεν αποκτήσετε πρόσβαση σε μια κακόβουλη σελίδα, δεν θα είστε στόχος αυτής της επίθεσης (και πολλών άλλων επίσης). Βεβαιωθείτε ότι χρησιμοποιείτε ένα σύγχρονο πρόγραμμα περιήγησης όπως Chrome, Edge, Firefox κ.λπ., καθώς διαθέτουν ενσωματωμένες λειτουργίες προστασίας από ηλεκτρονικό ψάρεμα (phishing) και κακόβουλο λογισμικό. Επίσης, στο Chrome, ενεργοποιήστε την Ενισχυμένη Προστασία για προστασία που βασίζεται σε τεχνητή νοημοσύνη για να εντοπίζετε απειλές σε πραγματικό χρόνο.
Οι κακόβουλες ιστοσελίδες συχνά διαδίδονται μέσω email ηλεκτρονικού “ψαρέματος” (phishing) για να λειτουργήσουν ως νόμιμες ιστοσελίδες, γι’ αυτό μάθετε να αναγνωρίζετε τα email ηλεκτρονικού “ψαρέματος” (phishing) και να αποφεύγετε να κάνετε κλικ σε αυτά όσο το δυνατόν περισσότερο. Εάν τελικά βρεθείτε σε μια ύποπτη σελίδα χωρίς προειδοποίηση, υπάρχουν πολλοί τρόποι για να διαπιστώσετε εάν ένας ιστότοπος είναι νόμιμος ή όχι.
- Διαβάστε επίσης: Πώς να κόψετε εύκολα βίντεο διαγράφοντας μεταγραφές στο Clipchamp
Κάντε τις επεκτάσεις αρχείων ορατές στα Windows
Από προεπιλογή, τα Windows 11 αποκρύπτουν τις επεκτάσεις αρχείων και εμφανίζουν μόνο τα ονόματα των αρχείων. Το FileFix εκμεταλλεύεται έμμεσα αυτό, καθώς οι χρήστες ενδέχεται να μην παρατηρήσουν την επέκταση .html που αλλάζει σε .hta όταν δεν εμφανίζονται οι επεκτάσεις αρχείων. Μπορείτε να το ενεργοποιήσετε για να βλέπετε πάντα ποιος είναι ο αρχικός τύπος αρχείου και αν αλλάζει.
Στην Εξερεύνηση αρχείων, κάντε κλικ στο κουμπί Δείτε περισσότερα (τρεις τελείες) και επιλέξτε Επιλογές .
Εδώ, μεταβείτε στην καρτέλα Προβολή και καταργήστε την επιλογή της επιλογής Απόκρυψη επεκτάσεων για γνωστούς τύπους αρχείων .
Τώρα, θα βλέπετε πάντα τις επεκτάσεις αρχείων ακόμα και στο παράθυρο λήψης κατά την αποθήκευση της ιστοσελίδας.
Αλλαγή της συσχέτισης αρχείων .hta στο Σημειωματάριο
Από προεπιλογή, το Mshta είναι η εφαρμογή που εκτελεί αρχεία .hta για την απευθείας εκτέλεση λειτουργιών εφαρμογών HTML. Ωστόσο, εάν αλλάξετε τη συσχέτιση του αρχείου .hta σε Σημειωματάριο (Notepad), θα ανοίξει το αρχείο στον επεξεργαστή κειμένου κατά την εκτέλεση. Έτσι, ακόμα κι αν κάποιος καταφέρει να σας ξεγελάσει (ή κάποιον άλλον στον υπολογιστή σας) για να κατεβάσετε ένα κακόβουλο αρχείο .hta, δεν θα εκτελεστεί.
Αυτό δεν θα επηρεάσει τους περισσότερους χρήστες, καθώς η χρήση των σεναρίων .hta είναι αρκετά εξειδικευμένη και χρησιμοποιείται συχνά μόνο από διαχειριστές IT ή για ορισμένα παλαιότερα σενάρια σε εταιρικά περιβάλλοντα. Εκτός αν βασίζεστε συγκεκριμένα σε ένα σενάριο .hta, δεν θα σας επηρεάσει.
Στις Ρυθμίσεις των Windows, μεταβείτε στις Εφαρμογές -> Προεπιλεγμένες εφαρμογές και αναζητήστε “.hta” στην επάνω γραμμή αναζήτησης στην ενότητα Ορισμός προεπιλογής για τύπο αρχείου ή τύπο συνδέσμου .
Τώρα, κάντε κλικ στο Microsoft (R) HTML Application host , επιλέξτε το Notepad ως την προεπιλεγμένη εφαρμογή και κάντε κλικ στο Set default . Τώρα, όλα τα αρχεία .hta θα ανοίξουν στο Notepad.
Απενεργοποίηση Mshta για αποκλεισμό εκτέλεσης HTML
Μπορείτε επίσης να χρησιμοποιήσετε ένα κόλπο για να απενεργοποιήσετε εντελώς την εφαρμογή Mshta, ώστε να αποφύγετε την εκτέλεση όλων των σεναρίων .hta. Το μόνο που έχετε να κάνετε είναι να αλλάξετε το όνομα του αρχείου “mshta.exe” σε “mshta.exe.disabled” για να το απενεργοποιήσετε. Θα χρειαστεί να έχετε ορατές τις επεκτάσεις αρχείων για να κάνετε αυτήν την αλλαγή.
Το αρχείο Mshta βρίσκεται στις θήκες “C:\Windows\System32” και “C:\Windows\SysWOW64”, πρέπει να το απενεργοποιήσετε και στις δύο τοποθεσίες.
Μεταβείτε σε αυτές τις τοποθεσίες στην Εξερεύνηση των Windows, πληκτρολογήστε “mshta” στο πληκτρολόγιο για να φτάσετε στο αρχείο και μετονομάστε το σε “mshta.exe.disabled”. Θα πρέπει να είστε ο διαχειριστής για να κάνετε αυτήν την αλλαγή και ίσως χρειαστεί να αναλάβετε και την ιδιοκτησία του αρχείου. Για να αναιρέσετε τις αλλαγές, απλώς αλλάξτε τα ονόματα και στις δύο τοποθεσίες σε “mshta.exe”.
- Διαβάστε επίσης: Πώς να δημιουργήσετε συνδέσμους άμεσης λήψης για το Google Drive
Δεδομένου ότι αποκαλύφθηκε αυτό το θέμα ευπάθειας, υπάρχει πιθανότητα η Microsoft να αλλάξει τον τρόπο εφαρμογής του MoTW σε μια μελλοντική ενημέρωση για να το διορθώσει, γι’ αυτό βεβαιωθείτε ότι τα Windows σας είναι πάντα ενημερωμένα. Επιπλέον, διατηρήστε ενεργοποιημένες τις προεπιλεγμένες λειτουργίες ασφαλείας των Windows για να εντοπίσετε πιθανώς το σενάριο κατά την εκτέλεση.
