03.02.2023 15:18
OneNote Dokumente als neues Hilfsmittel für Spammer und Co.
Nachdem Microsoft im Juli letzten Jahres die Hürde für Spammer deutlich höher gelegt hat - eingebettete Makros in heruntergeladenen Office Dokumente wurden per Default disabled - musste aus Sicht der Angreifer entsprechender Ersatz gefunden werden. Neuen Erkenntnissen zufolge, wurde dieser auch erfolgreich in Form von OneNote Dokumenten gefunden.
OneNote selbst ist zwar von der Fanbase her als eher irrelevante Komponente der MS Office Suite einzuschätzen, jedoch ist es dennoch Teil des Default-Installationsumfanges selbiger und somit üblicherweise auch vorhanden. In einer Sache unterscheidet sich OneNote hinsichtlich seines Dokumentenformates jedoch von seiner Programmfamilie: es können keine VBA Makros, wie aus Word und Co. bekannt, eingebettet werden. Jedoch bietet das Format sehr wohl die Möglichkeit, beliebige Objekte als Attachments zu integrieren. So zum Beispiel auch eigenständige VBS Skripte. Derartige Objekte sind jedoch, vergleichbar mit der Anzeige von Dateien im Windows Explorer, genau als solche mit dem entsprechenden Programm-Icon versehen und damit auch identifizierbar. Um den Benutzer dennoch zum Öffnen/Ausführen selbiger per Doppelklick zu verleiten, wird vom Angreifer einfach ein optischer Button mit einer entsprechend attraktiven Begründung als Overlay darüber positioniert, so dass das eigentliche Übel darunter verschwindet. Geht die Rechnung des Angreifers auf und es kommt zu einem Doppelklick, öffnet sich ein "klassischer" Warn-Dialog - die tatsächliche Wirksamkeit eines solchen dürfte aber gemessen an historischen Erfahrungswerten als überschaubar einzustufen sein.
Nachdem OneNote Dokumente, wie eingangs schon erwähnt, für viele Unternehmen wohl nicht zwingend zum Daily Business zählen, und somit auch noch weniger der Austausch selbiger über E-Mail ein Thema sein dürfte, bietet sich unter solchen Umständen ein simples Blocken derartiger Anhänge am Mail-Server als probates Gegenmittel an. Ist dies keine Option, sollten die Benutzer durch entsprechende Awareness Kampagnen zu entsprechender Vorsicht angehalten werden.