最近两年骇客在网路钓鱼攻击频频使用简单来说,FileFix运用的是网页要求使用者上传档案的功能,由于过程里浏览器呼叫了Windows档案总管视窗,供使用者选取想要上传的档案,而档案总管的网址列可用来执行作业系统命令,成为这次研究人员利用的标的。
附带一提的是,使用者看到档案上传的对话框很可能会不予理会攻击者下达的指示,依照自己的使用习惯选取想要上传的档案,但攻击者可在网页加入额外的程式码,让这些使用者看到错误讯息而乖乖就范。
研究人员指出,这种手法不仅攻击过程无须离开浏览器,若是在浏览器呼叫的档案总管视窗执行恶意程式,还能突破Windows内建的Mark of the Web(MoTW)机制,此时攻击者可正常启动恶意酬载,该档案的MoTW标记也会随之消失。
针对这种攻击手法的发现,突显了由浏览器呼叫的Windows档案总管不仅能执行各式各样系统命令,恐有过多权限的情形,甚至还有机会成为攻击者突破作业系统内建防护机制的管道,不过,究竟这些算是浏览器或Windows的问题?研究人员并未说明,他仅有提出用户自保的方法,那就是检查浏览器的处理程序是否挟带了特定的子处理程序,例如:cmd.exe、powershel.exe、mshta.exe。我们认为,很有可能需要微软与浏览器业者共同合作,才能防范FileFix与相关的手法。