Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Cybernews
  3. Artykuł
Powrót

Nowy atak FileFix omija zabezpieczenia

02 lipiec 2025

Nowy atak FileFix omija zabezpieczenia
Leszczak Katarzyna

Leszczak Katarzyna

Badacze ostrzegają przed nową techniką ataku FileFix, która pozwala uruchamiać złośliwy JScript w systemie Windows, omijając ochronę Mark of the Web. Słabym punktem jest zachowanie zapisywania stron HTML.

Dobroczynnie NTHW

Jak działa nowy wektor ataku FileFix

FileFix to świeży sposób obchodzenia zabezpieczeń Windows, który bazuje na znanym problemie – zaufaniu do lokalnie zapisanych plików HTML. Metoda została pokazana przez badacza bezpieczeństwa znanego jako mr.d0x, który już wcześniej ujawniał, jak użytkownicy mogą być nakłaniani do nieświadomego uruchamiania złośliwego PowerShella poprzez tzw. ClickFix. Tym razem schemat jest inny – bardziej ukryty i podstępny. Atakujący tworzy stronę internetową, która zachęca użytkownika do zapisania jej lokalnie, pod pretekstem na przykład zabezpieczenia kodów logowania MFA na przyszłość. Użytkownik – w dobrej wierze – wciska Ctrl+S, zapisuje stronę jako „Strona internetowa, zakończono” i zmienia rozszerzenie na .HTA. Dla Windows to sygnał, by potraktować plik jako aplikację HTML. W tym momencie MoTW – czyli znacznik ostrzegający system, że plik pochodzi z internetu – nie jest stosowany. To luka w zachowaniu przeglądarek i systemu. Efekt? Kiedy ofiara uruchomi plik .HTA, Windows nie pokazuje żadnego ostrzeżenia – kod JScript uruchamia się natychmiast przez legalny proces mshta.exe.

Starsza technologia, nowe zagrożenie

Aplikacje HTML nie są niczym nowym – mshta.exe istnieje w Windows od lat. Miał ułatwiać uruchamianie miniaplikacji opartych na HTML, skryptach VBScript czy JScript, głównie w korporacyjnych intranetach. Dziś jest to wygodny nośnik ataku, bo niewielu użytkowników wie, czym jest .HTA – a system domyślnie uruchamia go bez dodatkowych pytań.

Najgroźniejszym elementem tej techniki jest socjotechnika. Ofiara musi dać się przekonać, żeby:

  1. zapisać stronę,

  2. zmienić rozszerzenie,

  3. uruchomić plik.

Teoretycznie dużo, ale w praktyce dobrze zaprojektowana fałszywa strona może skłonić mniej świadomego użytkownika do takich działań. Zwłaszcza jeśli atak bazuje na strachu o dostęp do konta, MFA czy dokumentów.

Obrona – co radzą eksperci?

Eksperci ostrzegają: nie da się w pełni uszczelnić tej luki jednym łataniem – bo problem tkwi w logice zapisywania plików i starych komponentach Windows. Najlepsza praktyka to:

  • usunąć lub zablokować mshta.exe w środowisku, jeśli nie jest niezbędny,

  • włączyć wyświetlanie rozszerzeń plików – żeby łatwiej zauważyć .HTA,

  • filtrować i blokować załączniki HTML w poczcie,

  • edukować użytkowników – bo to oni są pierwszą i ostatnią linią obrony.

Atak FileFix przypomina, że w 2025 roku luka w zabezpieczeniach nie musi wynikać z nowoczesnego exploita zero-day – czasem wystarczy sprytnie wykorzystać stare funkcje i nieuwagę użytkownika.

Studia Cyberbezpieczeństwo WSiZ

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności