近日,安全研究员mr.d0x揭示了一种新型FileFix攻击方法,该方法能够在Windows系统中绕过“网络标记”(MoTW)保护,允许恶意脚本执行。报道称,这种攻击利用浏览器处理保存的HTML网页的方式,实现了安全警报的规避。
攻击者通过社交工程引诱用户保存一个HTML页面并将其重命名为.HTA文件。这种文件类型属于Windows的遗留技术,能够通过合法的mshta.exe运行嵌入的JScript,而不会触发安全警告。
防御这种攻击的有效策略包括禁用或移除mshta.exe二进制文件,以及在Windows上启用文件扩展名可见性,并阻止电子邮件中的HTML附件。