FileFix on uusi hyökkäysmenetelmä, joka hyödyntää sitä, kuinka Windows ja selaimet käsittelevät HTML -verkkosivujen säästöprosessia ohittaa Windows Security -tarkastukset. Jos se suoritetaan asianmukaisesti, se voi vaarantaa Windows -järjestelmän ransomware -hyökkäysten, sadonkorjuutietojen ja jopa uusien haittaohjelmien asentamiseksi. Tämä opas luettelee kaikki toimenpiteet, jotka voit toteuttaa tietokoneesi suojaamiseksi FileFix -hyökkäykseltä.
Sisällysluettelo
- Kuinka FileFix -hyökkäys toimii
- Vältä haitallisia verkkosivuja
- Tee tiedostojen laajennuksista näkyvissä Windowsissa
- Vaihda .hta -tiedostoyhdistys muistiinpanoon
- Poista MSHTA käytöstä estääksesi HTML -suorituksen
Suojaustutkijan Mr.D0x paljastama FileFix väärinkäyttää sitä, kuinka Windows käsittelee paikallisia HTML -sovellustiedostoja ja Web (MOTW) -turvaominaisuuden merkin. Aina kun tallennat verkkosivun käyttämällä “Tallenna AS” -toimintoa, selaimesi ei merkitse sitä MOTW: lle, jonka on tarkoitus kertoa tietoturvatoiminnot (kuten Windows Security) skannaamaan tiedosto.
Lisäksi, jos tiedosto tallennetaan nimellä .hta (HTML -sovellustiedosto), se voidaan suorittaa suoraan nykyisenä käyttäjänä ilman tietoturvatarkistusta. Jos haitallinen verkkosivu vakuuttaa käyttäjän tallentamaan sen ja vaihtamaan nimensä .hta -laajennuksella, niin haitallinen koodi ladataan ja suoritetaan (kun käyttäjä avaa tiedoston) ilman Windows Security -sovellusta.
Suurin vaikeus on käyttäjien vakuuttaminen tallentamaan haitallisen sivun HTML -sovellustiedostona. EdDiestealer, kuten se on mahdollista, käyttämällä taitavasti toteutettuja sosiaalisen tekniikan hyökkäyksiä, kuten vakuuttamalla käyttäjiä pelastamaan MFA -koodinsa tietyllä nimellä, joka päättyy .htalla.
Onneksi on olemassa useita sieppauspisteitä, jotka estävät tämän hyökkäyksen tietokoneeseesi. Alla on luotettavimpia.
Vältä haitallisia verkkosivuja
Hyökkäys alkaa säästää haitallista verkkosivua, joten jos et pääse haitalliselle sivulle, et ole tämän hyökkäyksen kohde (ja myös monet muut). Varmista, että olet modernissa selaimessa, kuten Chrome, Edge, Firefox jne. Myös Chromessa mahdollistaa parannetun suojan AI-pohjaiselle suojalle uhkien löytämiseksi reaaliajassa.
Haitalliset verkkosivut levitetään usein tietojenkalasteluviestien kautta toimimaan laillisina verkkosivuina, joten opi tunnistamaan tietojenkalasteluviestit ja välttämään napsauttamalla niitä mahdollisimman paljon. Jos päädyt epäilyttävälle sivulle ilman varoitusta, on monia tapoja selvittää, onko verkkosivusto laillista vai ei.
Tee tiedostojen laajennuksista näkyvissä Windowsissa
Oletusarvoisesti Windows 11 piilottaa tiedostolaajennuksia ja näyttää vain tiedostojen nimet. FileFix hyödyntää epäsuorasti tätä, koska käyttäjät eivät ehkä huomaa .html -laajennusta vaihtavan .htaan, kun tiedostolaajennukset eivät näy. Voit antaa sen aina nähdä, mikä on alkuperäinen tiedostotyyppi ja jos sitä muutetaan.
Napsauta tiedostotutkijaaNähdä enemmänPainike (kolme pistettä) ja valitseVaihtoehdot.
Täällä siirryNäkymävälilehti ja poista valinta valintaPiilota tunnettujen tiedostotyyppien laajennukset.
Nyt näet aina tiedostolaajennukset jopa latausikkunassa, kun tallennet verkkosivua.
Vaihda .hta -tiedostoyhdistys muistiinpanoon
Oletuksena MSHTA on sovellus, joka käyttää .hta -tiedostoja suorittaaksesi HTML -sovellustoiminnot suoraan. Jos muutat .hta -tiedostoyhdistyksen Notepadiin, se avaa sen sijaan tiedoston tekstieditorissa suoritettaessa. Joten vaikka joku onnistuu huijaamaan sinua (tai jonkun muun tietokoneellasi) haitallisen .hta -tiedoston lataamiseen, se ei suorita.
Tämä ei vaikuta useimpiin käyttäjiin .hta -skriptien käyttö on melko kapealla ja käyttävät sitä usein vain järjestelmänvalvojat tai joillekin vanhoille skriptille yritysympäristöissä. Ellet ole nimenomaisesti riippuvainen .hta -komentosarjasta, se ei vaikuta sinuun.
Siirry Windows -asetuksissaSovellukset->Oletussovelluksetja etsi “.hta” ylimmästä hakupalkistaAseta tiedostotyypin tai linkkityypin oletusosa.
Napsauta nytMicrosoft (R) HTML Application HostValitseMuistilappuOletussovelluksena ja napsautaAseta laiminlyönti. Nyt kaikki .hta -tiedostot avautuvat Notepadissa.
Poista MSHTA käytöstä estääksesi HTML -suorituksen
Voit myös käyttää temppua MSHTA -sovelluksen poistamiseen kokonaan kaikkien .hta -skriptien suorittamisen välttämiseksi. Ainoa mitä sinun täytyy tehdä, on muuttaa “mshta.exe” -tiedostonimi “mshta.exe.disabled” sen poistamiseksi käytöstä. Sinulla on oltava tiedostojen laajennukset näkyvissä tämän muutoksen tekemiseksi.
MSHTA -tiedosto on ”C: Windowsystem32” ja “C: WindowsysWow64”, sinun on poistettava se molemmissa paikoissa.
Lisää lukemista:Hahmojen ohittaminen.AI NSFW -suodatin 2025
Siirry näihin Windows Explorer -paikkoihin, kirjoita näppäimistön ”MSHTA” -sovelluksen tavoittaminen tiedostoon ja nimeä se uudelleen ”mshta.exe.disabled”. Sinun on oltava järjestelmänvalvoja tehdäksesi tämän muutoksen, ja sinun on ehkä otettava myös tiedostojen omistaminen. Muutosten kumoamiseksi vaihda vain molempien paikkojen nimet ”mshta.exe”.
Koska tämä haavoittuvuus on paljastettu, on olemassa mahdollisuus, että Microsoft voi muuttaa sitä, kuinka MOTW: tä käytetään tulevassa päivityksessä sen korjaamiseksi, joten varmista, että Windows on aina ajan tasalla. Pidä lisäksi Windows -suojausominaisuudet käytössä, jotta skripti voi tarttua suorituksen aikana.
