A Microsoft fokozott védelmet vezet be azon adathalász támadások ellen, amelyekben Microsoft OneNote fájlokon keresztül rosszindulatú szoftvereket terjesztenek.
A Microsoft friss közlése szerint 2023 áprilisában válik elérhetővé a védelmi funkció, amelyben a felhasználók többek között értesítést kapnak, ha a OneNote a fájlokat a rendszer veszélyesnek ítéli.
A közelmúltban megsokszorozódott azoknak az adathalász támadásoknak a száma, ahol a fenyegető szereplők ‘.one’ fájlkiterjesztésű OneNote-dokumentumokat használtak beágyazott fájlok elrejtéséhez, arra kérve a célpontokat, hogy kattintsanak a dokumentum megtekintéséhez.
A dupla kattintás elindítja a beágyazott fájlt, ami ártalmatlannak tűnhet, azonban súlyos következményekkel járhat.
FYI, this is how malicious Microsoft OneNote documents are created.
Embed the same attachment multiple times in a row. Then overlay it with a call-to-action box to click here.
However, double-clicking on the "button" actually double-clicks on the embedded file, and launches it. pic.twitter.com/B4WbyJcVWr
— BleepingComputer (@BleepinComputer) March 6, 2023
Mindazonáltal ez nem egy újkeletű támadásfajta, a Microsoft Office makrók kihasználását gyakran alkalmazzák a különböző adathalász támadások során.
Mit tehetünk ellene?
Az ilyen típusú adathalász támadások megelőzése érdekében a levelezőrendszerünkben beállíthatjuk, hogy az automatikusan blokkolja a ‘.one’ kiterjesztésű OneNote-dokumentumokat. (Természetesen vegyük figyelembe, hogy ezzel az esetleges legitim csatolmányok is blokkolásra kerülnek.)
Windows rendszergazdák a Microsoft Office csoportházirendek segítségével megakadályozhatják a beágyazott OneNote-fájlok indítását is.
Ehhez telepíteni kell a Microsoft 365/Microsoft Office csoportházirend-sablonokat, és engedélyezni kell a “Beágyazott fájlok letiltása” és a “Beágyazott fájlok blokkolt kiterjesztések” Microsoft OneNote házirendeket.
A fenyegetést jelentő szereplők 2022. december közepe óta használják a OneNote dokumentumokat spear phishing kampányokban, ahogy arról a Trustwave is beszámolt.
A OneNote-ra való áttérés azután történt, hogy a Microsoft alapértelmezés szerint letiltotta a Word és Excel makrókat, és patchelte a Mark of the Web (MoTW) megkerülésére szolgáló nulladik napi sérülékenységet, amelyben ISO- és ZIP-fájlokon keresztül rosszindulatú programokat terjesztettek.
