image

Microsoft OneNote-bestanden gebruikt voor verspreiden van malware

maandag 23 januari 2023, 11:55 door Redactie, 5 reacties

Aanvallers maken gebruik van Microsoft OneNote-bestanden om malware te verspreiden, zo waarschuwen verschillende securitybedrijven. Volgens een onderzoeker wordt deze methode steeds vaker toegepast. Jarenlang werden macro's in Microsoft Office-documenten gebruikt voor het verspreiden van malware. Vorig jaar besloot Microsoft om het uitvoeren van macro's in Microsoft 365 standaard te blokkeren, waardoor het veel lastiger wordt om macro's weer in te schakelen.

In een reactie op de macro-blokkade van Microsoft daalde de hoeveelheid macro-malware, zo stelden securitybedrijven en onderzoekers. In plaats daarvan werden er andere soorten bestanden als bijlage meegestuurd, zoals RAR-, ISO- en LNK-bestanden. Inmiddels worden ook .one-bestanden als aanvalsmethode gebruikt. Het gaat hier om bestanden voor Microsoft OneNote, software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365.

Vorige maand waarschuwde securitybedrijf TrustWave dat aanvallers malafide .one-bestanden versturen. One-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren.

Om gebruikers toch te laten klikken maken aanvallers gebruik van dezelfde trucs die ook bij malafide macro's werden toegepast. Zo krijgen gebruikers een "onleesbaar" document te zien. Om dat te bekijken is er een knop toegevoegd. In werkelijkheid gaat het hier om het malafide script dat vervolgens malware installeert voor het stelen van wachtwoorden en andere inloggegevens. Organisaties en gebruikers die geen gebruikmaken van OneNote wordt aangeraden om .one-bestanden zowel in hun e-mailomgeving als het besturingssystemen te blokkeren.

Image

Reacties (5)
23-01-2023, 12:32 door Anoniem
Komt geen eind aan in deze omgeving. Dat krijg je ook als de jaren 90 technologie (sharepoint) moet worden uitgemolken. Beter is om daar alles te blokkeren.
23-01-2023, 12:41 door Anoniem
One-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren.
Ik vind zo snel geen instelling om het uitvoeren van scripts in Onedrive-bestanden te blokkeren, zoals je wel macro's in Office kunt blokkeren als systeembeheerder. Wel kun je het uitvoeren van scripts vanaf een Sharepoint-site en vanuit Onedrive blokkeren:
https://learn.microsoft.com/en-us/sharepoint/allow-or-prevent-custom-script
Maar als gebruikers vanaf een lokale schijf scripts activeren, lijkt er geen andere manier te zijn dan het blokkeren van alle Onenote-bestanden, en daar gaan sommige gebruikers last van krijgen.
23-01-2023, 13:46 door Anoniem
Door Anoniem: Komt geen eind aan in deze omgeving. Dat krijg je ook als de jaren 90 technologie (sharepoint) moet worden uitgemolken. Beter is om daar alles te blokkeren.

Jouw 'omgeving' is te beperkt voor zo'n opmerking.

Het moet zijn "Komt geen einde aan in de IT omgeving", los van het product wat je gebruikt zullen er altijd kwetsbaarheden blijven bestaan! No doubt about that!
23-01-2023, 14:53 door Anoniem
Door Anoniem: los van het product wat je gebruikt zullen er altijd kwetsbaarheden blijven bestaan! No doubt about that!
Ja, zeker als fabrikanten features als "u kunt in uw documenten macro's opnemen die externe programma's starten" blijven inbouwen en ondersteunen.
25-01-2023, 08:50 door Anoniem
Ja maar deze 'Microsoft is brak, hou op met het te gebruiken' opmerkingen helpen alleen niet. Zoals al zo vaak aangegeven op dit forum hebben heel veel beheerders nu eenmaal met Microsoft omgevingen te werken. Het is echt super fijn voor je dat niets van je data bij de big-tech bedrijven staat, dat je alleen maar Linux / open source gebruikt en 100% in controle bent over alles wat er in je omgeving aan de hand is. Top voor je, echt!

Dat is alleen waarschijnlijk niet de realiteit voor 99.9% van de mensen om je heen. Dit soort opmerkingen helpt ons dus niet. Hoe je hiermee om moet gaan en welke instellingen je kunt aanpassen en ervaring/advies daarover zou wel helpen. Het stom blijven schoppen niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.