Verbesserte Office-Makrosicherheit führt zu neuen Angriffsmethoden über OneNote & Co.

Sicherheit (Pexels, allgemeine Nutzung)[English]Seit Microsoft und Administratoren von Windows-Systemen mehr in die Makrosicherheit investieren, werden Angriffe über diesen Vektor schwieriger. Cyberkriminelle suchen nach neuen Wegen, um Malware an die Nutzer zu bringen. OneNote nimmt da eine prominente Position als Einfallstor ein – aber auch andere Dateien und die Mark of the Web-Schwachstelle in Windows werden neuerdings vermehr für Angriffe genutzt.


Anzeige

OneNote als Einfallvektor

Die Kollegen von Bleeping Computer hatten bereits im Januar 2023 im Beitrag Hackers now use Microsoft OneNote attachments to spread malware darauf hingewiesen, dass Cyberkriminelle sich Microsoft OneNote-Anhängen bedienen, um Malware zu verbreiten. Basis für diese Warnung ist ein Blog-Beitrag von SpiderLabs, die im Dezember 2022 auf Trojaner gestoßen waren, die in OneNote-Dateien mit der Erweiterung .one als E-Mail-Anhang verbreitet wurden.

Öffnet der Nutzer diesen Anhang öffnet sich dieser in OneNote. Klickt der Nutzer eine Warnung, dass eine Datei aus OneNote geöffnet werde, weg, kann eine in der .one-Datei eingebettetes Windows Script File-Script ausgeführt werden. Diese ist dann in der Lage, weiteres Unheil anzurichten.

Die Kollegen von Bleeping Computer haben Anfang März 2023 im Beitrag How to prevent Microsoft OneNote files from infecting Windows with malware Hinweise gegeben, wie Administratoren OneOnet als Einfalltor für Malware entschärfen können. Die Gruppenrichtlinien finden sich in den  Microsoft 365/Microsoft Office group policy templates. Die erforderlichen Richtlinien sind im Beitrag von Bleeping Computer beschrieben.

Im April 2023 will Microsoft einen verbesserten Schutz gegen Phishing in OneNote implementieren, wie man am 10. März 2023 im Dokument Microsoft 365/Microsoft Office group policy templates erklärt. Die Kollegen von Bleeping Computer haben hier auf diesen Sachverhalt hingewiesen.

Ab März 2023 will Microsoft auch damit beginnen, Excel-XLL-Add-ins aus dem Internet zu blockieren, um einen zunehmend beliebten Angriffsvektor für Cyberkriminelle auszuschalten (siehe nachfolgender Tweet, der Link im Tweet ist aber verwaist).

Excel-XLL-Add-Ins blocked

Die Kollegen von Bleeping Computer haben vor einigen Tagen das Thema im Blog-Beitrag Microsoft Excel now blocking untrusted XLL add-ins by default aufgegriffen. Es bleibt aber ein Katz-und-Maus-Spiel zwischen Cyberkriminellen und Sicherheitsverantwortlichen.

Warnungen und Erkenntnisse von Sophos

Parallel dazu ist mir gerade eine Reihe an Tweet von Sicherheitsanbieter Sophos unter die Augen gekommen, der ebenfalls neue Angriffswege für die Verbreitung von Malware thematisiert, nach dem Microsoft die Makrosicherheit erhöht hat. Im Oktober 2022 wies Sophos in folgendem Tweet und diesem Beitrag darauf hin, das Bedrohungsakteure Archivdateien und ISO-Dateien bedienen, um Malware über die Mark of the Web-Schwachstelle an Microsofts Sicherheitsmechanismen vorbei zu schleusen.


Anzeige

Archives and .iso images hosting malware

Zum Thema Mark of the Web (MotW) hatte ich im Blog-Beitrag Windows und das "Mark of the Web" (MotW) Sicherheitsproblem was geschrieben. In einer Serie aktueller Tweets weist das Sophos X-Ops-Tem darauf hin, dass Ransomware-Gruppe OneNote und seine .one-Dateien als Einfallsvektor für Malware einsetzen.

OneNote as malware sling

In diesem Blog-Beitrag beschreibt Sophos, wie die Angreifer OneNote-Notizbücher infizieren, um Malware zu verbreiten. Die Kampagnen der Cyberkriminellen basieren auf Social Engineering, um Benutzer zum Öffnen von .ONE-Dateien mit einer Vielzahl eingebetteter Dateien (HTA, BAT, VBS, WSF, EXE, JSE, CPL, CHM und mehr) zu bewege. Die Sicherheitsforscher erwarten, dass diese Dateien noch vielfältiger werden. Hier ist ein aktuelles Qakbot-Beispiel aus dem Sophos-Blog-Beitrag.

OneNote as malware sling

Mitte Dezember 2022 entdeckten die Sophos Sicherheitsforscher erste, geringfügige Aktivitäten, die im Januar 2023 zunahmen. Erst als die großen Spammer im Februar 2023 aktiv wurden, öffneten sich die Schleusen zur Verteilung von Malware über diesen Vektor wirklich. Administratoren sollten das Thema also im Auge behalten und die oben skizzierten Richtlinien für Office verwenden, um eingebettete aktive Inhalte in OneNote-Notizbüchern zu deaktivieren.

Ähnliche Artikel:
Windows und das "Mark of the Web" (MotW) Sicherheitsproblem
Windows (Mark of the Web) 0-day per JavaScript für Ransomware-Angriffe genutzt
Windows: 0Patch Micropatch für MotW-Bypassing 0-day (kein CVE)
Microsoft Security Update Summary (13. Dezember 2022)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Verbesserte Office-Makrosicherheit führt zu neuen Angriffsmethoden über OneNote & Co.

  1. 1ST1 sagt:

    Wer das per Gruppenrichtlinie wie bei Bleeping beschrieben abdichten möchte, sollte nicht die Option "Disable embedded files" auf "Enabled" stellen, denn damit lassen sich auch keine Exceltabellen (*.xlsx) mehr in OneNote einbetten. Das ist einigermaßen beliebt weil es auch innerhalb von OneNote geht, solche Tabellen anzulegen, während die anderen potentiell schädlichen Dateien per Drag&Dop in die OneNote-Seite eingebettet werden.

    Besser die Variante "Embedded Files Blocked Extensions" verwenden und gezielt schädliche/ausführbare Dateitypen sperren: *.doc, *.docm, *.xls, *.xlsm, *.exe, *.bat, *.cmd, *.com, *.ps1, *. htm, *.html, *.hta, *.js, *.vba, *.vbs, P.pdf, usw. in die Liste eintragen.

    Und wenn man schonmal in den Gruppenrichtlinien drin ist, kann man auch noch das Einbetten von (ausführbaren!) Dateien in Visio und Makros im MS-Publisher abschalten, das wird nämlich sicher das nächste große Ding…

    • Günter Born sagt:

      Danke für die Ergänzung.

      • Singlethreaded sagt:

        Danke für die Informationen, der Filter auf dem Mail-Server ist um eine Dateiart länger.

        • Singlethreaded sagt:

          Hier die ersten Einschläge:

          Empfangen von: smtpout101.netcore.co.in (202.162.242.101)
          Mail-ID: xxxxxx
          Sicherungsverzeichnis: qdir-2023-03-16-12.23.14-001
          ———-
          Beanstandete Datei-Anhänge:
          Scan 2023.16.03_1149.one (application/octet-stream)
          ———-

    • Werner sagt:

      "Besser die Variante "Embedded Files Blocked Extensions" verwenden und gezielt schädliche/ausführbare Dateitypen sperren: *.doc, *.docm, *.xls, *.xlsm, *.exe, *.bat, *.cmd, *.com, *.ps1, *. htm, *.html, *.hta, *.js, *.vba, *.vbs, P.pdf, usw. in die Liste eintragen."

      Ist das eine Vorauswahl oder müssen diese Extensionen manuell eingetragen und somit blockiert werden? Letzteres halte ich nicht für praktikabel, denn wer verfügt wohl über eine abschließende Liste aller kritischen Formate…

  2. Paul sagt:

    und warum gibt es keine Viewer mehr?
    weil es dem Monopolisten zu teuer ist?

  3. Werner sagt:

    Der Artikel schneidet mehrere Problemstellungen an, thematisiert entsprechend der Überschrift die OneNote-Problematik, dann wieder Phishing und plötzlich ISO-Attachments. Das ist etwas verwirrend.

    • Günter Born sagt:

      Ich halte meine Leserschaft schon für so clever, dass sie diese intellektuelle Herausforderung bewältigen. Die Malware für die Angriffe mittels der OneNote-Notizbücher müssen ja irgendwo verteilt werden – ergo Phishing-Mail mit Anhang, wobei der oft in .iso-Dateien oder .zip-Archiven daherkommmt. Oder sehe ich das falsch?

      • Werner sagt:

        Phishing steht für "Password Fishing". Hier liegt Malware vor und nicht Phishing. Deswegen ist das verwirrend formuliert. Ich habe mich mittlerweile in deine Quellen eingelesen. Auch die schreiben teilweise sinnentstellend von Phishing. Das hast du vermutlich übernommen.

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.