يمكن لـ FileFix Attack جديد تجاوز Windows Motw: كيفية حماية جهاز الكمبيوتر الخاص بك

يمكن لـ FileFix Attack جديد تجاوز Windows Motw: كيفية حماية جهاز الكمبيوتر الخاص بك


FileFix هي طريقة هجوم جديدة تستفيد من كيفية تعامل Windows and Browsers مع عملية توفير صفحات الويب HTML لتجاوز عمليات فحص أمان Windows. إذا تم تنفيذها بشكل صحيح ، فيمكن أن يقوم بالتسوية لنظام Windows لنشر هجمات Ransomware وبيانات اعتماد الحصاد وحتى تثبيت برامج ضارة جديدة. يسرد هذا الدليل جميع التدابير التي يمكنك اتخاذها لحماية جهاز الكمبيوتر الخاص بك من هجوم FileFix.

كيف يعمل FileFix Attack

تم الكشف عن باحث الأمن Mr.D0x ، يسيء FileFix كيف يتناول Windows ملفات تطبيق HTML المحلية وميزة ميزة أمان الويب (MOTW). كلما قمت بحفظ صفحة ويب باستخدام وظيفة “حفظ AS” ، فإن متصفحك لا يضع علامة عليها لـ Motw ، والتي من المفترض أن تخبر وظائف الأمان (مثل Windows Security) لمسح الملف.

بالإضافة إلى ذلك ، إذا تم حفظ الملف كـ .hta (ملف تطبيق HTML) ، فيمكن تنفيذه مباشرة كمستخدم حالي بدون فحص أمان. إذا كانت صفحة ويب خبيثة تقنع المستخدم بحفظه وأيضًا تغيير اسمه باستخدام ملحق .hta ، فسيتم تنزيل الكود الضار وتنفيذه (عندما يفتح المستخدم الملف) دون اكتشاف أمان Windows.

الصعوبة الرئيسية هي إقناع المستخدمين بحفظ الصفحة الضارة كملف تطبيق HTML. ومع ذلك ، مثل Eddiestealer ، من الممكن استخدام هجمات الهندسة الاجتماعية التي تم تنفيذها بذكاء ، مثل إقناع المستخدمين بإنقاذ رموز MFA الخاصة بهم باسم محدد ينتهي بـ .hta.

لحسن الحظ ، هناك نقاط اعتراض متعددة لمنع هذا الهجوم على جهاز الكمبيوتر الخاص بك. فيما يلي الأكثر موثوقية.

تجنب صفحات الويب الضارة

يبدأ الهجوم بإنقاذ صفحة ويب خبيثة ، لذلك إذا لم تصل إلى صفحة ضارة ، فلن تكون هدفًا لهذا الهجوم (والعديد من الآخرين أيضًا). تأكد من وجودك في متصفح حديث مثل Chrome و Edge و Firefox ، وما إلى ذلك ، لأنها تحتوي على ميزات تصيكية ومضمنة في حماية البرامج الضارة. أيضًا ، على Chrome ، قم بتمكين الحماية المعززة للحماية القائمة على الذكاء الاصطناعي لإيجاد تهديدات في الوقت الفعلي.

غالبًا ما تنتشر صفحات الويب الضارة من خلال رسائل البريد الإلكتروني المخادعة لتكون بمثابة صفحات ويب مشروعة ، لذلك تعلم تحديد رسائل البريد الإلكتروني المخادعة وتجنب النقر عليها قدر الإمكان. إذا انتهى بك الأمر إلى صفحة مشبوهة دون تحذير ، فهناك العديد من الطرق لتحديد ما إذا كان موقع الويب شرعيًا أم لا.

اجعل ملحقات الملف مرئية في Windows

بشكل افتراضي ، يخفي نظام التشغيل Windows 11 ملحقات الملف ويظهر فقط أسماء الملفات. يستفيد FileFix بشكل غير مباشر من هذا ، حيث قد لا يلاحظ المستخدمون تمديد .html الذي يتغير إلى .hta عندما لا تظهر ملحقات الملفات. يمكنك تمكينه من رؤية نوع الملف الأصلي وإذا تم تغييره.

في مستكشف الملفات ، انقر على رؤية المزيد زر (ثلاث نقاط) وحدد خيارات.

هنا ، انتقل إلى منظر علامة التبويب وإلغاء تحديد الخيار إخفاء الامتدادات لأنواع الملفات المعروفة.

الآن ، سترى دائمًا ملحقات الملفات حتى في نافذة التنزيل عند حفظ صفحة الويب.

حوار تنزيل Windows مع إظهار تمديد الملف

تغيير جمعية ملفات. HTA إلى المفكرة

بشكل افتراضي ، MSHTA هو التطبيق الذي يعمل. ملفات .hta لتنفيذ وظائف تطبيق HTML مباشرة. ومع ذلك ، إذا قمت بتغيير جمعية ملفات .hta إلى المفكرة ، فستفتح بدلاً من ذلك الملف في محرر النصوص عند تنفيذها. لذلك حتى لو تمكن شخص ما من خداعك (أو شخص آخر على جهاز الكمبيوتر الخاص بك) لتنزيل ملف .hta ضار ، فلن يتم تنفيذه.

لن يؤثر هذا على معظم المستخدمين على استخدام. HTA Scripts هو مكانه تمامًا وغالبًا ما يستخدمه مدراءه فقط ، أو لبعض النصوص القديمة في بيئات المؤسسات. ما لم تكن تعتمد على وجه التحديد على البرنامج النصي .hta ، فلن يؤثر عليك.

في إعدادات Windows ، انتقل إلى التطبيقات -> التطبيقات الافتراضية والبحث “.hta” في شريط البحث العلوي تحت اضبط افتراضيًا لنوع الملف أو نوع الرابط قسم.

الآن ، انقر فوق مضيف تطبيق Microsoft (R) HTML، يختار المفكرة كتطبيق افتراضي ، وانقر فوق تعيين الافتراضي. الآن ، سيتم فتح جميع ملفات .hta في المفكرة.

إعداد المفكرة كتطبيق افتراضي في إعدادات Windows

تعطيل MSHTA لمنع تنفيذ HTML

يمكنك أيضًا استخدام خدعة لتعطيل تطبيق MSHTA تمامًا لتجنب تنفيذ جميع البرامج النصية .HTA. كل ما عليك فعله هو تغيير اسم ملف “mshta.exe” إلى “mshta.exe.disabled” لتعطيله. ستحتاج إلى امتدادات الملفات المرئية لإجراء هذا التغيير.

ملف MSHTA في “C: \ Windows \ System32” و “C: \ Windows \ Syswow64” ، تحتاج إلى تعطيله في كلا الموقعين.

انتقل إلى هذه المواقع في Windows Explorer ، واكتب “MSHTA” على لوحة المفاتيح للوصول إلى الملف ، وإعادة تسميته إلى “mshta.exe.disabled”. ستحتاج إلى أن تكون المسؤول لإجراء هذا التغيير ، وقد تحتاج إلى أخذ ملكية الملف أيضًا. للتراجع عن التغييرات ، ما عليك سوى تغيير الأسماء في كلا الموقعين إلى “mshta.exe”.

تغيير اسم تطبيق MSHTA في Windows 11

نظرًا لأن هذه الضعف قد تم الكشف عنها ، فهناك فرصة لتغيير Microsoft كيف يتم تطبيق Motw في تحديث مستقبلي لإصلاحه ، لذلك تأكد من أن Windows محدّثة دائمًا. بالإضافة إلى ذلك ، احتفظ بميزات أمان Windows الافتراضية الممكّنة لالتقاط البرنامج النصي أثناء التنفيذ.

الوسوم

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى