Cuộc tấn công FileFix mới có thể vượt qua Windows MoTW: Làm sao để bảo vệ máy tính?

FileFix là một phương pháp tấn công mới tận dụng cách Windows và trình duyệt xử lý quy trình lưu trang web HTML để bỏ qua các lần kiểm tra bảo mật của Windows. Nếu thực hiện đúng cách, nó có thể xâm phạm hệ thống Windows để triển khai các cuộc tấn công ransomware, thu thập thông tin đăng nhập và thậm chí cài đặt phần mềm độc hại mới. Hướng dẫn này liệt kê tất cả các biện pháp bạn có thể thực hiện để bảo vệ PC của mình khỏi cuộc tấn công FileFix.

Cách thức hoạt động của cuộc tấn công FileFix

Được tiết lộ bởi nhà nghiên cứu bảo mật mr.d0x, FileFix lợi dụng cách Windows xử lý các file ứng dụng HTML cục bộ và tính năng bảo mật Mark of the Web (MoTW). Bất cứ khi nào bạn lưu trang web bằng chức năng "Save as", trình duyệt của bạn sẽ không gắn thẻ trang web đó cho MoTW, chức năng này được cho là sẽ yêu cầu các chức năng bảo mật (như Windows Security) quét file.

Ngoài ra, nếu file được lưu dưới dạng .hta (file ứng dụng HTML), file đó có thể được thực thi trực tiếp với tư cách là người dùng hiện tại mà không cần kiểm tra bảo mật. Nếu một trang web độc hại thuyết phục người dùng lưu trang đó và cũng đổi tên thành phần mở rộng .hta, thì mã độc sẽ được tải xuống và thực thi (khi người dùng mở file) mà không bị bảo mật Windows phát hiện.

Khó khăn chính là thuyết phục người dùng lưu trang độc hại dưới dạng file ứng dụng HTML. Tuy nhiên, giống như EDDIESTEALER, điều này có thể thực hiện được bằng cách sử dụng các cuộc tấn công Social Engineering thực hiện khéo léo, chẳng hạn như thuyết phục người dùng lưu code MFA của họ bằng tên cụ thể kết thúc bằng .hta.

Rất may, có nhiều điểm chặn để chặn cuộc tấn công này trên PC. Dưới đây là những điểm đáng tin cậy nhất.

Tránh các trang web độc hại

Cuộc tấn công bắt đầu bằng cách lưu một trang web độc hại, vì vậy nếu không truy cập trang độc hại, bạn sẽ không phải là mục tiêu của cuộc tấn công này (và nhiều trang khác nữa). Đảm bảo rằng bạn đang sử dụng trình duyệt hiện đại như Chrome, Edge, Firefox, v.v..., vì chúng có các tính năng bảo vệ chống phishing và phần mềm độc hại tích hợp sẵn. Ngoài ra, trên Chrome, hãy bật Enhanced Protection để bảo vệ dựa trên AI nhằm tìm ra các mối đe dọa theo thời gian thực.

Các trang web độc hại thường được phát tán qua email lừa đảo để hoạt động như những trang web hợp pháp, vì vậy hãy học cách nhận dạng email lừa đảo và tránh nhấp vào chúng càng nhiều càng tốt. Nếu bạn vô tình truy cập vào một trang đáng ngờ mà không có cảnh báo, có nhiều cách để xác định xem trang web đó có hợp pháp hay không.

Hiển thị phần mở rộng file trong Windows

Theo mặc định, Windows 11 ẩn phần mở rộng file và chỉ hiển thị tên file. FileFix gián tiếp tận dụng điều này vì người dùng có thể không nhận thấy phần mở rộng .html thay đổi thành .hta khi phần mở rộng file không hiển thị. Bạn có thể bật tính năng này để luôn xem loại file gốc là gì và liệu nó có bị thay đổi không.

Trong File Explorer, hãy nhấp vào nút See more (ba dấu chấm) và chọn Options.

Tại đây, hãy chuyển đến tab View và bỏ chọn tùy chọn Hide extensions for known file types.

Bây giờ, bạn sẽ luôn thấy phần mở rộng file ngay cả trong cửa sổ tải xuống khi lưu trang web.

Thay đổi liên kết file .hta thành Notepad

Theo mặc định, Mshta là ứng dụng chạy file .hta để thực thi trực tiếp các chức năng ứng dụng HTML. Tuy nhiên, nếu bạn thay đổi liên kết file .hta thành Notepad, ứng dụng sẽ mở file trong trình soạn thảo văn bản khi thực thi. Vì vậy, ngay cả khi ai đó lừa bạn (hoặc người khác trên PC của bạn) tải xuống file .hta độc hại, file đó sẽ không thực thi.

Điều này sẽ không ảnh hưởng đến hầu hết người dùng vì việc sử dụng script .hta khá hạn chế và thường chỉ được quản trị viên CNTT sử dụng hoặc đối với một số script cũ trong môi trường doanh nghiệp. Trừ khi bạn đặc biệt phụ thuộc vào script .hta, nếu không thì nó sẽ không ảnh hưởng đến bạn.

Trong Windows Settings, hãy vào Apps -> Default Apps và tìm kiếm “.hta” trên thanh tìm kiếm trên cùng trong phần Set a default for a file type or link type.

Bây giờ, hãy nhấp vào Microsoft (R) HTML Application host, chọn Notepad làm ứng dụng mặc định và nhấp vào Set default. Bây giờ, tất cả các file .hta sẽ mở trong Notepad.