Microsoft отключает предварительный просмотр загрузок в проводнике, чтобы предотвратить атаки

Microsoft сообщает, что проводник (ранее — Windows Explorer) теперь автоматически блокирует предварительный просмотр файлов, загруженных из Интернета, чтобы предотвратить кражу учётных данных с помощью вредоносных документов.

Это изменение уже вступило в силу для пользователей, установивших обновления безопасности Patch Tuesday за этот месяц в системах Windows 11 и Windows Server.

Как объясняет Редмонд в документе службы поддержки, опубликованном в эту среду, функция предварительного просмотра по умолчанию будет отключена только для файлов, просматриваемых в общей папке Internet Zone, а также для файлов с меткой Mark of the Web (MotW), которая указывает на то, что они были загружены с помощью веб-браузера, получены в виде вложений электронной почты или из других интернет-источников.

При попытке предварительного просмотра таких файлов на панели предварительного просмотра в проводнике появится предупреждающее сообщение: «Файл, который вы пытаетесь просмотреть, может нанести вред вашему компьютеру. Если вы доверяете файлу и источнику, из которого он был получен, откройте его, чтобы просмотреть содержимое».

После установки обновлений безопасности Windows, выпущенных после октября 2025 года, это изменение не позволит злоумышленникам использовать уязвимости, которые позволяют им получать хэши NTLM, когда пользователи просматривают файлы, содержащие HTML-теги (например, <link>, <src> и т. д.), которые ссылаются на внешние пути на серверах, контролируемых злоумышленниками.

Этот вектор атаки особенно опасен, поскольку не требует от пользователя никакого взаимодействия, кроме выбора файла для предварительного просмотра, и избавляет злоумышленника от необходимости обманом заставлять жертву открывать или запускать файл в своей системе.

«Начиная с обновлений безопасности Windows, выпущенных 14 октября 2025 года и позже, проводник автоматически отключает функцию предварительного просмотра для файлов, загруженных из Интернета», — говорится в документе службы поддержки Microsoft, опубликованном в эту среду.

«Это изменение призвано повысить уровень безопасности за счёт устранения уязвимости, которая могла привести к утечке хэшей NTLM при предварительном просмотре потенциально небезопасных файлов».

Большинству пользователей не нужно ничего делать, так как защита включается автоматически с обновлением системы безопасности за октябрь 2025 года, а существующие рабочие процессы не затрагиваются, если только вы не просматриваете загруженные файлы регулярно.

Если вам нужно просмотреть доверенный файл из известного источника, вы можете вручную снять блокировку интернет-безопасности. Для этого щелкните правой кнопкой мыши по файлу в проводнике, выберите «Свойства» и нажмите кнопку «Разблокировать» в нижней части вкладки «Общие».

Однако важно отметить, что это может вступить в силу не сразу и может потребоваться выход из системы и повторный вход.

Блок предварительного просмотра также можно убрать для всех файлов в общей папке Internet Zone, добавив адрес общей папки в раздел «Надежные сайты» или «Локальная зона безопасности интрасети» на вкладке «Безопасность» в панели управления «Свойства обозревателя».

Редактор: Анастасия