Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новая угроза FileFix: обход защиты при сохранении веб-страниц

1
2 мин
Недавний анализ в области кибербезопасности выявил новую разновидность атаки под названием FileFix — адаптацию ранее известной техники ClickFix. Эта атака эксплуатирует особенности сохранения веб-страниц в браузерах Chrome и Microsoft Edge, создавая новые риски для пользователей и системных администраторов. Суть атаки заключается в использовании стандартных функций браузеров по сохранению содержимого HTML. При сохранении страницы в форматах «Веб-страница, отдельный файл» или «Веб-страница, полная» на выходе формируются файлы, которые не содержат метки Web (Mark of the Web, MOTW), если MIME-тип исходного ресурса — text/html или application/xhtml+xml. Это имеет критическое значение, поскольку отсутствие MOTW позволяет обойти защитные механизмы, предназначенные для предотвращения выполнения потенциально опасных скриптов и приложений с локального компьютера. Злоумышленники могут создавать специальные HTML-фишинговые файлы, в которых отсутствует элемент , а затем переименовывать их с расшир
Оглавление

Недавний анализ в области кибербезопасности выявил новую разновидность атаки под названием FileFix — адаптацию ранее известной техники ClickFix. Эта атака эксплуатирует особенности сохранения веб-страниц в браузерах Chrome и Microsoft Edge, создавая новые риски для пользователей и системных администраторов.

Механизм атаки и его особенности

Суть атаки заключается в использовании стандартных функций браузеров по сохранению содержимого HTML. При сохранении страницы в форматах «Веб-страница, отдельный файл» или «Веб-страница, полная» на выходе формируются файлы, которые не содержат метки Web (Mark of the Web, MOTW), если MIME-тип исходного ресурса — text/html или application/xhtml+xml.

Это имеет критическое значение, поскольку отсутствие MOTW позволяет обойти защитные механизмы, предназначенные для предотвращения выполнения потенциально опасных скриптов и приложений с локального компьютера.

Опасность для безопасности и способы эксплуатации

Злоумышленники могут создавать специальные HTML-фишинговые файлы, в которых отсутствует элемент , а затем переименовывать их с расширением .hta. Использование расширения .hta дает возможность запуска таких файлов в качестве HTML-приложений, что значительно повышает риск вредоносного кода.

Также атака использует особенности серверов, которые отправляют заголовок Content-Type с параметром text/html. В результате, когда жертва сохраняет веб-страницу, имя файла по умолчанию маскирует истинную природу файла, облегчая запуск вредоносного HTA без предупреждений со стороны системы безопасности.

Дополнительные векторы атаки

  • URI данных с типом MIME text/html могут быть сохранены аналогичным образом без метки MOTW.
  • Это открывает дополнительный путь для проведения атак социальной инженерии, поскольку пользователи могут не распознать опасность сохраненного файла.

Выводы

Выявленная техника FileFix демонстрирует, как злоумышленники используют тонкости работы браузеров и протоколов MIME для обхода существующих защитных механизмов. В связи с этим критически важно пересмотреть подходы к обработке и проверке сохранённых веб-файлов, а также повысить осведомленность пользователей о потенциальных рисках.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новая угроза FileFix: обход защиты при сохранении веб-страниц".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются