Yeni FileFix Saldırısı: HTML Dosyalarını Kullanan Tehlike
Son zamanlarda güvenlik araştırmacısı mr.d0x tarafından geliştirilen FileFix saldırısı, Mark of the Web (MoTW) korumasını geçerek kötü amaçlı betiklerin çalıştırılmasına olanak tanıyor. Bu açığın, Windows işletim sisteminde nasıl işlediği ve tarayıcıların kaydedilen HTML web sayfalarına yaklaşımını nasıl manipüle ettiği dikkat çekiyor.
FileFix Saldırısının Çalışma Prensibi
FileFix saldırısı, kullanıcıları yanıltarak PowerShell komutlarını Dosya Gezgini adres çubuğuna yapıştırmaları için ikna eden bir teknik içeriyor. Geçmişte karşılaşılan ClickFix saldırılarına alternatif olarak ortaya çıkan bu yöntem, kullanıcının dikkatini dağıtarak kötü amaçlı komutların çalıştırılmasını sağlıyor. Bu tür saldırılar, kullanıcıların bilgisayarındaki güvenlik önlemlerini aşarak doğrudan sistemin kontrolden çıkmasına neden olabiliyor.
HTML Uygulamaları ve mshta.exe’nin Rolü
HTML Uygulamaları (.HTA), eski bir teknoloji olarak kabul ediliyor ve Windows işletim sisteminde HTML ile komut dosyası içeriklerinin çalıştırılmasına olanak tanıyor. Bu tür dosyalar, mshta.exe dosyasına ait bir uygulama tarafından çalıştırılıyor. FileFix saldırısında, bir kullanıcının HTML dosyasını "Web Sayfası, Tam" olarak kaydetmesi ve ardından dosya uzantısını .HTA olarak değiştirmesi gerekiyor. Bu durumda, MoTW etiketi alınmadığı için kötü amaçlı betik, herhangi bir uyarı olmadan çalıştırılabiliyor.
Saldırının Sosyal Mühendislik Yüzü
Saldırının en zorlu kısmı, sosyal mühendislik aşamasıdır. Kullanıcının bir web sayfasını kaydedip adını değiştirmesi gerekmektedir. Saldırganlar, genellikle sahte web siteleri oluşturarak kullanıcılara daha ikna edici bir tuzak sunabiliyorlar. Örneğin, kötü niyetli bir web sayfası, kullanıcılara multi-faktör kimlik doğrulama (MFA) kodlarını kaydetmeleri için yönlendirme yapabilir. Kullanıcıdan Ctrl+S tuşlarına basması ve dosyayı ‘MfaBackupCodes2025.hta’ olarak kaydetmesi istenebilir.
Kullanıcıların Dikkat Etmesi Gerekenler
Bu tarz kötü niyetli saldırılara karşı kullanıcıların en başta dikkat etmeleri gereken nokta, dosya uzantıları hakkında bilgi sahibi olmaktır. Filtrelenmiş dosya içeriklerine dikkat edilmesi ve yalnızca güvenilir kaynaklardan gelen eklerin açılması, güvenlik açısından kritik bir öneme sahiptir. Kullanıcılar, uzantıları gizli olan dosyaları açmaktan kaçınmalı ve bilgisayarlarını olası riske karşı korumalıdır.
Etkin Savunma Stratejileri
FileFix saldırısına karşı etkili bir savunma stratejisi geliştirmek için bazı önlemler alınabilir. İlk etapta, mshta.exe dosyasının bulunduğu dizinler (C:WindowsSystem32 ve C:WindowsSysWOW64) taranarak bu dosyanın devre dışı bırakılması önerilir. Böylece, kötü niyetli HTML uygulamalarının çalıştırılma riski en aza indirilmiş olur. Bunun yanı sıra, Windows ortamında dosya uzantılarının görünürlüğünün sağlanması ve HTML eklerinin e-postalardan engellenmesi de alınabilecek diğer önlemler arasında yer alıyor.
Sonuç Olarak
Görüldüğü gibi, FileFix saldırısı kullanıcıların bilgi eksikliklerinden faydalanarak oldukça sinsi bir şekilde gerçekleştirilmekte. Güvenlik alanında alınması gereken tedbirlerin yanı sıra, kullanıcıların da dikkatli olması ve eğitilmesi büyük önem taşımaktadır. Sadece sosyal mühendislik teknikleriyle değil, aynı zamanda günümüz teknolojisinin sunduğu imkânlarla da mücadele edilmesi gerekiyor. Eğitim ve farkındalık, güvenli bir dijital ortamın sağlanmasında kritik bir rol oynamaktadır. Amacımız, kullanıcıları bu tür tehlikelere karşı bilinçlendirmek ve daha güvenli bir internet deneyimi sunmaktır.
