Basta salvare una pagina Web per infettare il PC Windows (senza avvisi)

Un nuovo attacco noto come FileFix sfrutta una falla nel meccanismo Mark of the Web (MoTW) di Windows, permettendo l’esecuzione di codice malevolo in formato .hta senza che il sistema mostri avvisi di sicurezza. Attenzione al salvataggio in locale delle pagine Web con il browser.
Michele Nasi
Pubblicato il 2 lug 2025
Basta salvare una pagina Web per infettare il PC Windows (senza avvisi)

Ancora una volta, il meccanismo di protezione Mark of the Web (MoTW) implementato da Microsoft in Windows si rivela incapace di segnalare come nocivo il codice che lo è veramente. Una nuova variante dell’attacco battezzato FileFix consente l’esecuzione di script dannosi eludendo la protezione MoTW. L’attacco sfrutta il comportamento dei browser durante il salvataggio di pagine HTML in locale, aggirando i meccanismi di sicurezza previsti per i file provenienti da Internet.

Cos’è il Mark of the Web (MoTW)

Come evidenziato in altri nostri articoli, MoTW è una misura di sicurezza Windows che contrassegna i file scaricati da fonti non affidabili (ad esempio browser o email) con un identificatore speciale. Lo speciale contrassegno attiva avvisi di sicurezza e restrizioni per evitare l’esecuzione automatica di codice potenzialmente dannoso.

Il marcatore si presenta come un Alternate Data Stream (ADS) denominato Zone.Identifier, viene aggiunto automaticamente da browser (come Edge e Chrome), client email e altre applicazioni compatibili ogni volta che un file viene scaricato da host remoti.

Il contenuto del MoTW è simile a questo:

[ZoneTransfer]
ZoneId=3

Dove ZoneId=3 indica che il file proviene da Internet (zona non attendibile).

L’importanza del MoTW nei meccanismi di sicurezza

Molti componenti di Windows e applicazioni di terze parti fanno ampio affidamento sulla presenza del MoTW per attivare le loro protezioni:

  • Windows SmartScreen: blocca o avvisa l’utente prima dell’esecuzione di file eseguibili o script non firmati scaricati da Internet.
  • Microsoft Office: apre i documenti in Visualizzazione Protetta, impedendo l’esecuzione automatica di macro se il file ha il MoTW.
  • PowerShell: può impedire l’esecuzione di script con MoTW attivo se la politica di esecuzione (ExecutionPolicy) è restrittiva.
  • Microsoft Defender e altri antivirus: usano il MoTW per applicare controlli extra ai file sospetti, inclusi analisi cloud e sandboxing.
  • Internet Explorer/Edge Legacy/mshta.exe: rifiutano o limitano l’esecuzione di contenuti attivi (script, ActiveX) se il file è marcato come non sicuro.

Il problema: quando MoTW manca, Windows si fida troppo

Se un file scaricato o generato da una fonte non attendibile non riceve il MoTW, Windows non applica nessuna misura difensiva, assumendo erroneamente che il file sia locale o sicuro. È proprio questo il comportamento sfruttato nella nuova variante dell’attacco FileFix.

Quando una pagina HTML è salvata come “Pagina Web, completa” e poi rinominata con l’estensione .hta, essa non riceve il contrassegno MoTW, anche se originata da Internet.

Un attaccante può così eseguire codice sul sistema della vittima senza che Windows attivi gli usuali avvisi o blocchi.

Come funziona la nuova tecnica FileFix

mr.d0x, autore della scoperta, spiega che la nuova tecnica sfrutta un comportamento anomalo nel salvataggio di pagine Web complete.

Tramite ingegneria sociale, un attaccante induce la vittima a salvare una pagina Web utilizzando CTRL+S e a rinominarla con l’estensione .hta. Il problema è che, così facendo, la pagina Web diventa a tutti gli effetti una HTML Application (.hta), che Windows esegue automaticamente con mshta.exe, un eseguibile legittimo presente sul sistema.

Il file .hta, privato del marcatore MoTW, esegue immediatamente lo script JScript o VBScript incorporato, senza alcun avviso per l’utente. Un codice nascosto nel corpo della pagina Web, ignorato di default da qualunque browser, diventa in questo modo una minaccia concreta che porta all’esecuzione di operazioni arbitrarie in ambito locale.

Difese e mitigazioni

Per proteggersi da questa variante di FileFix, l’autore della scoperta consiglia di disabilitare o rimuovere mshta.exe. Si tratta di un componente di Windows di fatto inutile nella stragrande maggioranza delle configurazioni. Tale file si trova nei percorsi %systemroot%\System32\mshta.exe e %systemroot%\SysWOW64\mshta.exe: per evitare di eliminare il file, può essere semplicemente rinominato.

Come suggerimento di carattere generale, si dovrebbe sempre abilitare la visualizzazione delle estensioni dei file: quest’accortezza rende più difficile mascherare file .hta come innocui .html.

Ha senso inoltre provvedere al blocco degli allegati HTML e .hta nelle email così come educare gli utenti sui rischi dell’ingegneria sociale e sull’uso improprio dei formati di file.

Ti consigliamo anche

Chrome su Android: finalmente Google ha ascoltato gli utenti
Browser

Chrome su Android: finalmente Google ha ascoltato gli utenti
Firefox 140: tutte le novità dell'aggiornamento di giugno 2025
Browser

Firefox 140: tutte le novità dell'aggiornamento di giugno 2025
Chrome addio su questi smartphone Android: quando non si potrà più usare
Browser

Chrome addio su questi smartphone Android: quando non si potrà più usare
Perplexity Comet: il browser in arrivo su Windows e Android
Browser

Perplexity Comet: il browser in arrivo su Windows e Android
Link copiato negli appunti