Seit wenigen Monaten verlegen sich Angreifer offenbar zunehmend darauf, OneNote-Dateien (Dateiendung .one) als Vehikel für E-Mail basierte Angriffe zu nutzen. Das bietet sich an, weil OneNote zwar keine Makros unterstützt, aber man weitere Dokumente in die Datei einhängen kann.
Diese Dateien können dann wiederum ausführbar und somit Malware sein oder den Download von Malware besorgen. Im berichteten Fall handelte es sich um VB-Skripte, die als Dropper agierten. Damit der Anwender nicht merkt, dass er eine Datei ausführt, wird ein Frame über die Anhänge gelegt und der Nutzer wird mit einer großen Schaltfläche aufgefordert, mit einem Doppelklick auf die Inhalte der Notizseite zuzugreifen. Tut er das, hat er damit unwissentlich den Anhang geklickt und ihn ausgeführt. Es erscheint zwar noch eine Sicherheitsfrage, aber erfahrungsgemäß werden Warnhinweise nach dem Prinzip "Was du hier tust, könnte gefährlich sein" oft einfach ungelesen/unverstanden weg geklickt.
Natürlich gibt es viele Maßnahmen, mit denen Sie das Problem eindämmen können
- Heuristik in der Endpoint-Protection aktivieren - eine OneNote-Datei die direkt nach dem Öffnen Skripte ausführt und Dinge aus dem Internet lädt, IST verdächtig
- Prüfen Sie, ob .vbs-Skripte generell ausführbar sein müssen. Es ist durchaus nicht unwahrscheinlich, dass die Antwort "Ja" lautet, aber dennoch ist eine Prüfung angemessen
- Bestimmte Arten von Dateianhängen können in OneNote mit Hilfe von Group Policies gesperrt werden.
- OneNote deinstallieren und/oder blocken (application white-/blacklisting). Es ist standardmäßig als Teil von MS Office installiert, wird aber nicht immer benötigt.
- Anwenderschulung:
- Wie kann man Absender und Inhalt einer Mail manuell prüfen?
- Sicherheitswarnungen lesen und ernst nehmen
- Erst schauen, dann klicken: warum sollte der Inhalt einer OneNote-Datei versteckt sein und erst durch Doppelklick freigeschaltet werden? Das ist nicht plausibel
- Es sollten kurzfristig und niederschwellig Personen erreichbar sein, die E-Mails und Anhänge kompetent prüfen können, wenn ein Anwender Zweifel hat
Anhänge direkt an der Türe rausschmeißen
z.B. die IQ.Suite der Firma GBS, die von vielen unserer Kunden als Domino basierte E-Mailsicherheitssoftware eingesetzt wird, bietet die Möglichkeit, die Anhänge anhand von "Fingerprints"/Binärmuster zu detektieren und rauszufiltern:
0000 10 E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3
0030 08 3F DD 9A 10 1B 91 F5 49
Namensmuster: *.one
0000 06 4D 53 43 46 00 00
00..-1 19 00 4E 6F 74 69 7A 62 75 63 68 20 C3 B6 66 66 6E 65 6E 2E 6F 6E 65 74 6F 63
Namensmuster: *.onepkgWenn jedoch diese Anhänge grundsätzlich gebraucht werden, hilft es möglicherweise, sie erst einmal durch Konvertierung nach PDF unschädlich zu machen, um sie erst nach Prüfung aus der Quarantäne zu holen.
Dabei hilft z.B. Convert der IQ.Suite. Damit wird der Anhang zu PDF konvertiert und dann zugestellt. Das Original wird in die Quarantäne überführt. Stellt der Empfänger nach Prüfung der E-Mail und des Anhanges fest, dass der Inhalt valide ist, kann das Original aus der Quarantäne wiederhergestellt werden.
Sprechen Sie uns gerne an, wenn wir Sie - nicht nur in der IQ.Suite - unterstützen dürfen, um diese Sicherheitsherausforderung anzupacken.
