FileFix es un nuevo método de ataque que aprovecha cómo Windows y los navegadores manejan el proceso de peculio de las páginas web HTML para evitar las verificaciones de seguridad de Windows. Si se ejecuta correctamente, puede comprometer un sistema de Windows para implementar ataques de ransomware, cosechar credenciales e incluso instalar un nuevo malware. Esta maestro enumera todas las medidas que puede tomar para proteger su PC de un ataque de FileFix.
Cómo funciona FileFix Attack
Revelado por el investigador de seguridad Mr.D0x, FileFix abusa de cómo Windows maneja los archivos de aplicaciones HTML locales y la marca de la función de seguridad Web (MOTW). Cada vez que escolta una página web utilizando la función «Acomodar como», su navegador no lo formalidad para MOTW, lo que se supone que indica las funciones de seguridad (como Windows Security) para escanear el archivo.
Por otra parte, si el archivo se escolta como .hta (archivo de aplicación HTML), se puede ejecutar directamente como el adjudicatario contemporáneo sin una demostración de seguridad. Si una página web maliciosa convence al adjudicatario de guardarlo y igualmente cambia su nombre con la extensión .hta, entonces el código pillo se descargará y ejecutará (cuando el adjudicatario abre el archivo) sin que Windows Security lo detecte.
La principal dificultad es convencer a los usuarios de economizar la página maliciosa como un archivo de aplicación HTML. Sin bloqueo, al igual que EddiDeSpaler, es posible mediante el uso de ataques de ingeniería social ejecutados inteligentemente, como convencer a los usuarios de economizar sus códigos MFA con un nombre específico que termina con .hta.
A Dios gracias, hay múltiples puntos de intercepción para cortar este ataque en su PC. A continuación se muestran los más confiables.
Evite las páginas web maliciosas
El ataque comienza salvando una página web maliciosa, por lo que si no accedes a una página maliciosa, no será un objetivo de este ataque (y muchos otros igualmente). Asegúrese de estar en un navegador flamante como Chrome, Edge, Firefox, etc., ya que tienen características de protección de phishing y malware incorporadas. Por otra parte, en Chrome, permite una protección mejorada para la protección basada en IA para encontrar amenazas en tiempo vivo.
Las páginas web maliciosas a menudo se extienden a través de correos electrónicos de phishing para proceder como páginas web legítimas, así que aprenda a identificar los correos electrónicos de phishing y evite hacer clic en ellos tanto como sea posible. Si termina en una página sospechosa sin previo aviso, hay muchas formas de determinar si un sitio web es seguro o no.
Haga visibles las extensiones de archivos en Windows
Por defecto, Windows 11 oculta las extensiones de archivos y solo muestra los nombres de los archivos. FileFix se aprovecha indirectamente de esto, ya que los usuarios pueden no notar que la extensión .html cambia a .hta cuando no se muestran las extensiones de archivos. Puede habilitar que siempre vea cuál es el tipo de archivo llamativo y si se está cambiando.
En el explorador de archivos, haga clic en el Ver más pimpollo (tres puntos) y escoger Opción.
Aquí, muévete al Pinta pestaña y desmarque la opción Ocultar extensiones para los tipos de archivos conocidos.
Ahora, siempre verá extensiones de archivos incluso en la ventana de descarga al economizar la página web.
Cambiar la asociación de archivos .hta a bloc de notas
Por defecto, MSHTA es la aplicación que ejecuta archivos .hta para ejecutar funciones de aplicación HTML directamente. Sin bloqueo, si cambia la asociación de archivos .hta a bloc de notas, en su puesto abrirá el archivo en el editor de texto cuando se ejecute. Entonces, incluso si cierto logra engañar a usted (o cierto más en su PC) para que descargue un archivo .hta pillo, no se ejecutará.
Esto no afectará a la mayoría de los usuarios, ya que el uso de scripts .hta es conveniente hornacina y a menudo usado solo por los administradores, o para algún script heredado en entornos empresariales. A menos que dependa específicamente de un script .hta, no le afectará.
En la configuración de Windows, vaya a Aplicaciones -> Aplicaciones predeterminadas y apañarse «.hta» en la mostrador de búsqueda superior debajo Establecer un valía predeterminado para un tipo de archivo o tipo de enlace sección.
Ahora, haga clic en Host de aplicación HTML de Microsoft (R)escoger Bloc Como la aplicación predeterminada, y haga clic en Establecer predeterminado. Ahora, todos los archivos .hta se abrirán en el bloc de notas.
Deshabilitar MSHTA para cortar la ejecución de HTML
Asimismo puede usar un truco para deshabilitar la aplicación MSHTA por completo para evitar la ejecución de todos los scripts .hta. Todo lo que tiene que hacer es cambiar el nombre del archivo «mshta.exe» a «mshta.exe.disable» para deshabilitarlo. Deberá tener extensiones de archivos visibles para hacer este cambio.
El archivo MSHTA está en «C: Windows System32» y «C: Windows Syswow64», debe deshabilitarlo en ambas ubicaciones.
Vaya a estas ubicaciones en Windows Explorer, escriba «MSHTA» en el teclado para ascender al archivo y cambie el nombre de «mshta.exe.disable». Deberá ser el administrador para hacer este cambio, y es posible que igualmente deba tomar la propiedad de archivos. Para deshacer los cambios, simplemente cambie los nombres en ambas ubicaciones a «mshta.exe».
Hexaedro que se ha revelado esta vulnerabilidad, existe la posibilidad de que Microsoft pueda cambiar la forma en que se aplica MOTW en una aggiornamento futura para solucionarlo, por lo que asegúrese de que sus Windows estén siempre actualizados. Por otra parte, mantenga habilitadas las funciones de seguridad de Windows predeterminadas para detectar el script durante la ejecución.
