[English]Microsoft reagiert wohl auf den Umstand, dass OneNote inzwischen als Malware-Schleuder für Systeme missbraucht wird. Die Anwendung soll zukünftig 120 gefährliche Filetypen blockieren, so dass diese durch Downloads aus dem Internet nicht mehr für Malware-Angriffe missbraucht werden können.
Anzeige
OneNote als Sicherheitsrisiko
Seit Microsoft und Administratoren von Windows-Systemen mehr in die Makrosicherheit investieren, werden Angriffe über diesen Vektor schwieriger. Inzwischen verwenden Cyberkriminelle OneNote als Einfallstor für Angriffe bzw. zur Verbreitung von Malware. Die Kollegen von Bleeping Computer hatten bereits im Januar 2023 im Beitrag Hackers now use Microsoft OneNote attachments to spread malware darauf hingewiesen, dass Cyberkriminelle sich Microsoft OneNote-Anhängen bedienen, um Malware zu verbreiten. Basis für diese Warnung ist ein Blog-Beitrag von SpiderLabs, die im Dezember 2022 auf Trojaner gestoßen waren, die in OneNote-Dateien mit der Erweiterung .one als E-Mail-Anhang verbreitet wurden.
Öffnet der Nutzer diesen Anhang öffnet sich dieser in OneNote. Klickt der Nutzer eine Warnung, dass eine Datei aus OneNote geöffnet werde, weg, kann eine in der .one-Datei eingebettetes Windows Script File-Script ausgeführt werden. Diese ist dann in der Lage, weiteres Unheil anzurichten. Speziell der Emotet Trojaner wird zunehmend über diesen Vektor verbreitet (siehe Emotet ist im März 2023 zurück, Verbreitung der Malware über OneNote-Anhänge). Mitte März 2023 hatte ich im Beitrag Verbesserte Office-Makrosicherheit führt zu neuen Angriffsmethoden über OneNote & Co. auf diesen Sachverhalt hingewiesen und den Beitrag How to prevent Microsoft OneNote files from infecting Windows with malware von Bleeping Computer verlinkt. Dort fanden sich Hinweise, wie der Angriffsvektor entschärft werden kann. Die Gruppenrichtlinien zum Absichern finden sich in den Microsoft 365/Microsoft Office group policy templates. Die erforderlichen Richtlinien sind im Beitrag von Bleeping Computer beschrieben.
Microsoft plant weitere Schutzmaßnahmen
Ich habe das Thema nicht weiter im Detail verfolgt, bin die Tage aber auf nachfolgenden Tweet der Kollegen von Bleeping Computer gestoßen. Die Botschaft des Beitrags Microsoft OneNote will block 120 dangerous file extensionslautet, dass Microsoft künftig 120 gefährliche Filetypen in OneNote blockieren will.
Anzeige
In einem Eintrag in der Microsoft 365-Roadmap vom 10. März 2023 gab das Unternehmen erstmals bekannt, dass OneNote eine verbesserte Sicherheit erhalten soll. Im Dokument OneNote blocks embedded files that have dangerous extensions vom 28. März 2023 listet nun die Details der kommenden Änderung auf. Was ändert sich dadurch? Bisher gab es eine Warnung in OneNote, wenn die Benutzer Dateien mit MotW-Flag (d.h. Internet Downloads) öffnen wollten. Der Nutzer konnte die Datei trotzdem öffnen. Sobald die Aktualisierung scharf geschaltet ist, kommt zukünftig der Hinweis "Ihr Administrator hat das Öffnen dieses Dateityps in OneNote blockiert."
Ein Microsoft 365-Supportdokument listet 120 Dateitypen auf, die in OneNote, Outlook, Word, Excel und PowerPoin als Internet-Download, d.h. mit Mark of the Web-Flag (MotW) beim Laden blockiert werden sollen. Im Microsoft 365-Supportdokument gibt es aber Hinweise, wie sich solche Dateien sicher teilen lassen (z.B. Upload in OneDrive oder SharePoint mit senden eines Links).
Zudem finden sich im Artikel OneNote blocks embedded files that have dangerous extensions Hinweise, wie sich weitere Dateinamenerweiterungen blockieren lassen. Ein eigener Abschnitt widmet sich zudem der Frage, wie die standardmäßig blockierten Dateierweiterungen zugelassen werden können.
Wann kommt es?
Microsoft plant die Änderung zwischen Ende April 2023 und Ende Mai 2023 in Version 2304 im Current Channel (Preview) für OneNote für Microsoft 365 auf Windows-Geräten auszurollen. In der Microsoft 365-Roadmap heißte es "Rollout startet im April 2023", mehr Details finden sich im Microsoft-Dokument Versions of OneNote affected by this change. Die Kollegen von Bleeping Computer haben alle Details hier zusammen getragen.
Diese neue Sicherheitsfunktion soll auch bei den Einzelhandelsversionen von Microsoft Office 2016 (Current Channel), 2019 und 2021 kommen. Nicht bereitgestellt wird diese neue Sicherheitsfunktion in den Volumenlizenz-Versionen von Office, wie Office Standard 2019 oder Office LTSC Professional Plus 2021. Das neue Feature kommt auch nicht in OneNote for Web, OneNote für Windows 10, OneNote für Mac sowie OneNote auf Android- oder iOS-Geräten.
Ähnliche Artikel:
Verbesserte Office-Makrosicherheit führt zu neuen Angriffsmethoden über OneNote & Co.
Emotet ist im März 2023 zurück, Verbreitung der Malware über OneNote-Anhänge
Anzeige
Die wichtigsten, aka
.doc*,
.xls*,
.ppt*,
stehen nicht in dieser Liste. Wollen die uns ver(_|_)en?
Wenn du docx, xlsx und pptx mit dem Sternchen einschließt, funktioniert so manches in OneNote nicht mehr, zum Beispiel das Einbetten von Exceltabellen. Du solltest eher die dreistellingen alten Erweiterungen xls, doc, ppt und zusätzlich auch die Macrovarianten xlsm, docm, pptm und entsprechende Vorlagendateien sperren.
@M.D.
Was an .docx ist gefährlich? Hast du überhaupt Ahnung vom Thema?
Das war doch nur ein Trollkommentar.
Mir erschloß sich schon bislang nicht der Nutzen von OneNote aber mit dem Blockieren von bestimmten Filenamen wird der Dienst vollends unbrauchbar. Anstatt das Windows Imperium abzusichern, werden die Nutzer an die Kette gelegt. Ich schlage vor, für Windows künftig alle netzwerkverbindungen, USB Schnittstellen und externe Laufwerke zu blockieren. So wird das System sicher. An der Brauchbarkeit ämndert sich nicht viel, die ist jetzt schon nahe Null.
OneNote ist schon ein praktischer Notitzblock, mit dem man Infos auch auf dem Smartphone nutzen kann und auch ganze Notitzbücher mit anderen teilen kann. Quasi die Deluxe-Version der PostIt-Sticker. Man kann sogar ganze Seiten per Passwort AES256 verschlüsseln, so dass es sich auch zum Sammeln von persönlichen Informatiuonen aller Art eignet. Ich nutze das für alles mögliche, zum Beispiel auch als Materialsammlung wenn ich eine Doku schreiben muss, oder um Powershell-Schnipsel die man ab und zu braucht zu sammeln.
OneNote Dateien leider ohne OneNote-App nicht sinnvoll verwendbar.
Daher mach ich einen Bogen um die App: meine eigenen Schnipsel-Dokumentationen müssen im Zweifel auch Plattform-Unabhängig ohne weitere Abhängigkeiten verfügbar sein.
@mw
"… schon bislang nicht der Nutzen von OneNote"
Klar, wenn es man so viel benutzt wie du, ist der Nutzen dahin.
"… Brauchbarkeit ämndert sich nicht viel, die ist jetzt schon nahe Null"
Na wenigstens reicht es noch zum Schreiben von Kommentaren. Manche Leute erschweren mir das Lesen des Blogs.
Privat nutze ich OneNote auch nicht — gibt's ja ohnehin nicht für Linux.
Aber beruflich ist das für mich das zweitwichtigste Tool überhaupt, gleich nach Excel. Ich mache sämtliche Meeting-Vorbereitung und -Dokumentation damit. Geht viel schneller als mit Confluence, alle Informationen zu allen Projekten an einem Ort, und, ganz wichtig, funktioniert auch offline.
Was besseres fällt ihnen nicht ein?
Warum nicht einfach das OS sicher programmieren und schon ist Ruhe?
Ist es doch. Wird aber nicht genutzt. Inzwischen bin ich auch der Meinung Installationen dürfen nur noch über den Store erfolgen und Programme nur noch aus dem Store kommen. Dann erledigt sich das Problem von selbst.
Emm. dazu müsste man genug und gute Leute haben.
Die hat MS weitgehend rausgeschmissen oder geekelt.
Zu dem will man es den Usern bequem machen.
Also ein OS sicher programmieren versucht Google gerade bei Android. Einfach ist das nicht.
Aber ok, das mit dem Appshop hat bei PCs nicht so richtig geklappt und weicher Admin mit Verstand gibt den Usern das Recht selbst Software zu installieren? Hallo?
Wozu? Er hat alles was er braucht.
Wenn das nicht reicht ist er halt ein bisserl dumm
alle anderen kommen damit aus.
Wozu braucht ein User WS oder Power Shell auf einem Domain Client? Soll er doch sich selbst einen isolierten Rechner hinstellen, nebst DHCP oder zu Hause neue Software auszuprobieren.
Kein User braucht z.B. das PUA nmap, auch Netzwerk-Softwsre-Entwickler nicht. Im Grunde braucht er auch keine Kommando Zeile.
Wozu sollte er das brauchen? Microsoft stellt ja für alles tolle Klick UI zur Verfügung.
Wie schön sooft gesagt:
Wenn es Viewer gäbe für alle MS Formate, dann wäre das Problem ein gutes Stück kleiner
Aber gibt es nicht mehr, weil MS das Geld sparen will.