[English]Seit Microsoft und Administratoren von Windows-Systemen mehr in die Makrosicherheit investieren, werden Angriffe über diesen Vektor schwieriger. Cyberkriminelle suchen nach neuen Wegen, um Malware an die Nutzer zu bringen. OneNote nimmt da eine prominente Position als Einfallstor ein – aber auch andere Dateien und die Mark of the Web-Schwachstelle in Windows werden neuerdings vermehr für Angriffe genutzt.
Anzeige
OneNote als Einfallvektor
Die Kollegen von Bleeping Computer hatten bereits im Januar 2023 im Beitrag Hackers now use Microsoft OneNote attachments to spread malware darauf hingewiesen, dass Cyberkriminelle sich Microsoft OneNote-Anhängen bedienen, um Malware zu verbreiten. Basis für diese Warnung ist ein Blog-Beitrag von SpiderLabs, die im Dezember 2022 auf Trojaner gestoßen waren, die in OneNote-Dateien mit der Erweiterung .one als E-Mail-Anhang verbreitet wurden.
Öffnet der Nutzer diesen Anhang öffnet sich dieser in OneNote. Klickt der Nutzer eine Warnung, dass eine Datei aus OneNote geöffnet werde, weg, kann eine in der .one-Datei eingebettetes Windows Script File-Script ausgeführt werden. Diese ist dann in der Lage, weiteres Unheil anzurichten.
Die Kollegen von Bleeping Computer haben Anfang März 2023 im Beitrag How to prevent Microsoft OneNote files from infecting Windows with malware Hinweise gegeben, wie Administratoren OneOnet als Einfalltor für Malware entschärfen können. Die Gruppenrichtlinien finden sich in den Microsoft 365/Microsoft Office group policy templates. Die erforderlichen Richtlinien sind im Beitrag von Bleeping Computer beschrieben.
Im April 2023 will Microsoft einen verbesserten Schutz gegen Phishing in OneNote implementieren, wie man am 10. März 2023 im Dokument Microsoft 365/Microsoft Office group policy templates erklärt. Die Kollegen von Bleeping Computer haben hier auf diesen Sachverhalt hingewiesen.
Anzeige
Ab März 2023 will Microsoft auch damit beginnen, Excel-XLL-Add-ins aus dem Internet zu blockieren, um einen zunehmend beliebten Angriffsvektor für Cyberkriminelle auszuschalten (siehe nachfolgender Tweet, der Link im Tweet ist aber verwaist).
Die Kollegen von Bleeping Computer haben vor einigen Tagen das Thema im Blog-Beitrag Microsoft Excel now blocking untrusted XLL add-ins by default aufgegriffen. Es bleibt aber ein Katz-und-Maus-Spiel zwischen Cyberkriminellen und Sicherheitsverantwortlichen.
Warnungen und Erkenntnisse von Sophos
Parallel dazu ist mir gerade eine Reihe an Tweet von Sicherheitsanbieter Sophos unter die Augen gekommen, der ebenfalls neue Angriffswege für die Verbreitung von Malware thematisiert, nach dem Microsoft die Makrosicherheit erhöht hat. Im Oktober 2022 wies Sophos in folgendem Tweet und diesem Beitrag darauf hin, das Bedrohungsakteure Archivdateien und ISO-Dateien bedienen, um Malware über die Mark of the Web-Schwachstelle an Microsofts Sicherheitsmechanismen vorbei zu schleusen.
Zum Thema Mark of the Web (MotW) hatte ich im Blog-Beitrag Windows und das "Mark of the Web" (MotW) Sicherheitsproblem was geschrieben. In einer Serie aktueller Tweets weist das Sophos X-Ops-Tem darauf hin, dass Ransomware-Gruppe OneNote und seine .one-Dateien als Einfallsvektor für Malware einsetzen.
In diesem Blog-Beitrag beschreibt Sophos, wie die Angreifer OneNote-Notizbücher infizieren, um Malware zu verbreiten. Die Kampagnen der Cyberkriminellen basieren auf Social Engineering, um Benutzer zum Öffnen von .ONE-Dateien mit einer Vielzahl eingebetteter Dateien (HTA, BAT, VBS, WSF, EXE, JSE, CPL, CHM und mehr) zu bewege. Die Sicherheitsforscher erwarten, dass diese Dateien noch vielfältiger werden. Hier ist ein aktuelles Qakbot-Beispiel aus dem Sophos-Blog-Beitrag.
Mitte Dezember 2022 entdeckten die Sophos Sicherheitsforscher erste, geringfügige Aktivitäten, die im Januar 2023 zunahmen. Erst als die großen Spammer im Februar 2023 aktiv wurden, öffneten sich die Schleusen zur Verteilung von Malware über diesen Vektor wirklich. Administratoren sollten das Thema also im Auge behalten und die oben skizzierten Richtlinien für Office verwenden, um eingebettete aktive Inhalte in OneNote-Notizbüchern zu deaktivieren.
Ähnliche Artikel:
Windows und das "Mark of the Web" (MotW) Sicherheitsproblem
Windows (Mark of the Web) 0-day per JavaScript für Ransomware-Angriffe genutzt
Windows: 0Patch Micropatch für MotW-Bypassing 0-day (kein CVE)
Microsoft Security Update Summary (13. Dezember 2022)
Anzeige
Wer das per Gruppenrichtlinie wie bei Bleeping beschrieben abdichten möchte, sollte nicht die Option "Disable embedded files" auf "Enabled" stellen, denn damit lassen sich auch keine Exceltabellen (*.xlsx) mehr in OneNote einbetten. Das ist einigermaßen beliebt weil es auch innerhalb von OneNote geht, solche Tabellen anzulegen, während die anderen potentiell schädlichen Dateien per Drag&Dop in die OneNote-Seite eingebettet werden.
Besser die Variante "Embedded Files Blocked Extensions" verwenden und gezielt schädliche/ausführbare Dateitypen sperren: *.doc, *.docm, *.xls, *.xlsm, *.exe, *.bat, *.cmd, *.com, *.ps1, *. htm, *.html, *.hta, *.js, *.vba, *.vbs, P.pdf, usw. in die Liste eintragen.
Und wenn man schonmal in den Gruppenrichtlinien drin ist, kann man auch noch das Einbetten von (ausführbaren!) Dateien in Visio und Makros im MS-Publisher abschalten, das wird nämlich sicher das nächste große Ding…
Danke für die Ergänzung.
Danke für die Informationen, der Filter auf dem Mail-Server ist um eine Dateiart länger.
Hier die ersten Einschläge:
Empfangen von: smtpout101.netcore.co.in (202.162.242.101)
Mail-ID: xxxxxx
Sicherungsverzeichnis: qdir-2023-03-16-12.23.14-001
———-
Beanstandete Datei-Anhänge:
Scan 2023.16.03_1149.one (application/octet-stream)
———-
"Besser die Variante "Embedded Files Blocked Extensions" verwenden und gezielt schädliche/ausführbare Dateitypen sperren: *.doc, *.docm, *.xls, *.xlsm, *.exe, *.bat, *.cmd, *.com, *.ps1, *. htm, *.html, *.hta, *.js, *.vba, *.vbs, P.pdf, usw. in die Liste eintragen."
Ist das eine Vorauswahl oder müssen diese Extensionen manuell eingetragen und somit blockiert werden? Letzteres halte ich nicht für praktikabel, denn wer verfügt wohl über eine abschließende Liste aller kritischen Formate…
Es gibt einige Analyse-Tools:
https://blog.didierstevens.com/2023/01/22/analyzing-malicious-onenote-documents/
und warum gibt es keine Viewer mehr?
weil es dem Monopolisten zu teuer ist?
OneNote ist kostenlos, findest du im Store.
Der Artikel schneidet mehrere Problemstellungen an, thematisiert entsprechend der Überschrift die OneNote-Problematik, dann wieder Phishing und plötzlich ISO-Attachments. Das ist etwas verwirrend.
Ich halte meine Leserschaft schon für so clever, dass sie diese intellektuelle Herausforderung bewältigen. Die Malware für die Angriffe mittels der OneNote-Notizbücher müssen ja irgendwo verteilt werden – ergo Phishing-Mail mit Anhang, wobei der oft in .iso-Dateien oder .zip-Archiven daherkommmt. Oder sehe ich das falsch?
Phishing steht für "Password Fishing". Hier liegt Malware vor und nicht Phishing. Deswegen ist das verwirrend formuliert. Ich habe mich mittlerweile in deine Quellen eingelesen. Auch die schreiben teilweise sinnentstellend von Phishing. Das hast du vermutlich übernommen.