Come impedire ai file di Microsoft OneNote di infettare Windows con malware

Vai ai contenuti

Come impedire ai file di Microsoft OneNote di infettare Windows con malware

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Come impedire ai file di Microsoft OneNote di infettare Windows con malware



L'apparentemente innocuo file di Microsoft OneNote è diventato un popolare formato di file utilizzato dagli hacker per diffondere malware e violare le reti aziendali. Ecco come impedire agli allegati di phishing di OneNote dannosi di infettare Windows.

Per fornire un piccolo retroscena su come siamo riusciti a far diventare i file di Microsoft OneNote lo strumento preferito per gli attacchi di phishing che distribuiscono malware, dobbiamo prima spiegare come siamo arrivati qui.

Gli attori delle minacce hanno abusato per anni delle macro nei documenti Microsoft Word ed Excel per scaricare e installare malware sui dispositivi Windows.


Dopo che Microsoft ha finalmente disabilitato le macro per impostazione predefinita nei documenti Word ed Excel Office, gli attori delle minacce hanno iniziato a rivolgersi ad altri formati di file meno comunemente utilizzati per distribuire malware, come file ISO e archivi ZIP protetti da password.


Questi erano formati di file popolari poiché un bug di Windows consentiva ai file nelle immagini ISO di aggirare gli avvisi di sicurezza Mark-of-the-Web (MoTW) e la popolare utility di archiviazione 7-Zip non propagava i flag MoTW ai file estratti dagli archivi ZIP.

Tuttavia, dopo che sia 7-Zip che Windows hanno risolto questi bug, Windows ha nuovamente iniziato a mostrare spaventosi avvisi di sicurezza quando un utente ha tentato di aprire i file nei file ISO e ZIP scaricati, costringendo gli attori delle minacce a trovare un altro formato di file da utilizzare negli attacchi.


Da metà dicembre, gli attori delle minacce si sono rivolti a un altro formato di file per la distribuzione di malware: gli allegati di Microsoft OneNote.


Perché Microsoft OneNote?
Gli allegati di Microsoft OneNote utilizzano l'estensione di file ".one" e sono una scelta interessante, in quanto non distribuiscono malware tramite macro o vulnerabilità.

Invece, gli attori delle minacce creano modelli complessi che sembrano essere un documento protetto con un messaggio per "fare doppio clic" su un elemento di progettazione per visualizzare il file, come mostrato di seguito.


Ciò che non vedi dall'allegato sopra, tuttavia, è che il "doppio clic per visualizzare il file" nasconde effettivamente una serie di file incorporati che si trovano sotto il livello del pulsante, come illustrato di seguito.


Quando si fa doppio clic sul pulsante, si fa doppio clic sul file incorporato e si avvia il file.

Mentre facendo doppio clic su un file incorporato verrà visualizzato un avviso di sicurezza, come sappiamo dai precedenti attacchi di phishing che abusano delle macro di Microsoft Office, gli utenti di solito ignorano gli avvisi e consentono comunque l'esecuzione del file.

Purtroppo, è sufficiente che un utente consenta accidentalmente l'esecuzione di un file dannoso per compromettere un'intera rete aziendale in un attacco ransomware in piena regola.

E questo non è teorico, poiché in alcune campagne Microsoft OneNote QakBot, i ricercatori di sicurezza hanno scoperto che alla fine hanno portato a un attacco ransomware, come BlackBasta, su una rete compromessa.

Come bloccare i file dannosi di Microsoft OneNote
Il modo migliore per impedire agli allegati dannosi di Microsoft OneNote di infettare Windows è bloccare l'estensione del file ".one" nei gateway di posta o nei server di posta sicuri.

Tuttavia, se ciò non è possibile per il proprio ambiente, è anche possibile utilizzare i criteri di gruppo di Microsoft Office per limitare l'avvio di file allegati incorporati nei file di Microsoft OneNote.

Innanzitutto, installa i modelli di criteri di gruppo di Microsoft 365/Microsoft Office per iniziare con i criteri di Microsoft OneNote.

Ora che i criteri sono installati, troverai i nuovi criteri di Microsoft OneNote denominati "Disabilita file incorporati" e "Estensioni bloccate file incorporati",

Il criterio di gruppo "Disabilita file incorporati" è il più restrittivo in quanto impedisce l'avvio di tutti i file di OneNote incorporati. È necessario abilitare questa opzione se non si dispone di casi d'uso per l'utilizzo di allegati OneNote incorporati.

"Per disabilitare la possibilità di incorporare file in una pagina di OneNote, in modo che le persone non possano trasmettere file che potrebbero non essere rilevati dal software antivirus, ecc.", si legge nella descrizione dei criteri di gruppo.


Se abilitato, verrà creata la seguente chiave di registro di Windows. Si noti che i percorsi possono variare a seconda della versione di Microsoft Office.


Editor del registro di Windows versione 5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options]
"disableembeddedfiles"=dword:00000001

Ora, quando un utente tenta di aprire eventuali allegati incorporati in un documento Microsoft OneNote, riceverà il seguente errore.


Un'opzione meno restrittiva, ma potenzialmente più pericolosa, è il criterio di gruppo "File incorporati estensioni bloccate", che consente di inserire un elenco di estensioni di file incorporate di cui verrà bloccata l'apertura in un documento Microsoft OneNote.

"Per disabilitare la possibilità per gli utenti della tua organizzazione di aprire un file allegato di un tipo di file specifico da una pagina di Microsoft OneNote, aggiungi le estensioni che desideri disabilitare utilizzando questo formato: '.ext1;.ext2;', " si legge nella descrizione della polizza.

"Se si desidera disabilitare l'apertura di qualsiasi allegato da una pagina di OneNote, vedere il criterio Disabilita file incorporati. Non è possibile bloccare le registrazioni audio e video incorporate (WMA e WMV) con questo criterio, fare invece riferimento al criterio Disabilita file incorporati."


Se abilitata, verrà creata la seguente chiave di registro di Windows con l'elenco delle estensioni bloccate immesse.


Editor del registro di Windows versione 5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options\embeddedfileopenoptions]
"estensioni bloccate"=".js;.exe;.bat;.vbs;.com;.scr;.cmd;.ps1"

Ora, quando un utente tenta di aprire un'estensione di file bloccata in un documento Microsoft OneNote, riceverà il seguente errore.


Alcune estensioni di file suggerite da bloccare sono .js, .exe, .com, .cmd, .scr, .ps1, .vbs e .lnk. Tuttavia, poiché gli attori delle minacce scoprono nuove estensioni di file di cui abusare, questo elenco potrebbe essere ignorato da altri tipi di file dannosi.

Sebbene il blocco di qualsiasi tipo di file non sia sempre una soluzione perfetta a causa dei requisiti di un ambiente, i risultati del non fare nulla per limitare l'abuso dei file di Microsoft OneNote possono essere anche peggiori.

Pertanto, si consiglia vivamente di bloccare gli allegati di OneNote, o almeno l'abuso di tipi di file incorporati, nel proprio ambiente per prevenire un attacco informatico.



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti