Bleeping Computerは6月24日(米国時間)、「New FileFix attack weaponizes Windows File Explorer for stealthy commands」において、Windowsのエクスプローラーを悪用するClickFix戦術の亜種「FileFix」が開発されたと報じた。新しい攻撃手法は「mr.d0x(@mrd0x)」を名乗るセキュリティ研究者により開発された。
従来のClickFix戦術は「ファイル名を指定して実行」ダイアログを開かせ、ユーザー自身に悪意のあるコマンドを実行させて侵害する。この手法は広く悪用されているが、コマンド実行を要求していることがあからさまで気づかれやすいという欠点がある。
そこで研究者は他の代替手法が存在しないか調査し、Webブラウザから離れずに任意のコマンドを実行する興味深い手法を発見している。
-
New FileFix attack weaponizes Windows File Explorer for stealthy commands
FileFix戦術の概要
研究者は6月23日、「FileFix - A ClickFix Alternative | mr.d0x」にてFileFix戦術の詳細を公開している。研究者によると、この手法はエクスプローラーのアドレスバーに存在するコマンド実行機能を悪用するという。
普段エクスプローラーのアドレスバーからコマンドを実行する機会はそうないと思われるが、「cmd.exe」と入力してリターンキーを押すと、コマンドプロンプトが開くことを確認できる。この機能はエクスプローラーを単体で起動した場合に限定されず、アプリの「ファイルを開く」ダイアログでも機能する。
-
エクスプローラのアドレスバーにコマンドを入力する例
FileFix戦術ではWebブラウザのファイルを開くダイアログを悪用する。具体的にはファイルアップロード時のファイル選択ダイアログを使用する。エクスプローラーはショートカットキー(Ctrl+L)を入力することでアドレスバーを選択することが可能なため、アドレスバーを知らないユーザーも簡単に誘導できるとしている。
攻撃の手順
攻撃手順は次のとおり。
- 侵害したWebサイトで偽の警告画面をポップアップ表示する
- クリップボードに悪意のあるコマンドをコピーする。ユーザーには無意味なパスを表示してコピーを促すが、ユーザー操作に関係なく悪意のあるコマンドがコピーされる
- Webサイトの閲覧に必要として、ボタン(実際はアップロードファイルの選択ボタン)のクリックを求める
- アドレスバーへの貼り付けとエンターキーの入力を求める
攻撃を実行した場合の問題
この攻撃をそのまま採用した場合、次の2つの問題が発生する可能性がある。これら問題についても研究者は具体的な解決策を提案している。
- アドレスバーに入力されたコマンドを視認できる - コマンド末尾にコメントとしてファイルパスと空白を入力することで、ファイルパスのみ表示させることができる
- ユーザーがファイルをクリックすることでコマンド入力を回避される - ファイル選択ダイアログのイベントをインターセプトし、ユーザーに異なる操作をしないように警告する。警告メッセージを閉じた後は、即座に入力をクリアしてダイアログを開き直す
FileFix戦術の応用
研究者はFileFix戦術の調査中、MoTWマーク(MoTW: Mark-of-the-Web)を無視できることを発見している。事前に悪意のあるファイルを保存させる必要があるものの、アドレスバーからMoTWマーク付きのファイルを警告なしで実行できるという。
これは修正されていないセキュリティ脆弱性と推測されるが、アドレスバーからアプリを起動するとMoTWマーク自体が削除されるとしている。ただし、悪用するにはMicrosoft Defender SmartScreenなど別のセキュリティ機能を回避する必要があり、実用は難しいとされる。
影響と対策
Bleeping Computerによると研究者は次のように述べ、近い将来に脅威になる可能性を示唆したという。
「FileFix攻撃はシンプルかつよく知られたWindowsユーティリティを悪用しているため、すぐに脅威アクターに採用されると考えている」
この手法はClickFix戦術と同様、知ることで回避可能と考えられる。いずれも警告表示からユーザー操作を要求してユーザー自身にコマンドを実行させる特徴的な共通点があり、手法を知ることで回避可能とみられる。企業や組織のセキュリティ担当者には、新しい手法を従業員教育に取り入れ、積極的に対策することが望まれている。
Ankerモバイルバッテリーがリコール
