Os usuários do Windows estão tendo que lidar com uma ameaça explorada no Microsoft OneNote. O aparentemente inócuo arquivo do Microsoft OneNote se tornou um formato de arquivo popular usado por hackers para espalhar malwares e violar redes corporativas no Windows. Saiba como impedir que anexos de phishing maliciosos do OneNote infectem o Windows.
Malwares infectando Windows através de aplicativos OneNote
Os agentes de ameaças têm abusado de macros em documentos do Microsoft Word e Excel há anos para baixar e instalar malware em dispositivos Windows. Depois que a Microsoft finalmente desativou as macros por padrão nos documentos Word e Excel Office, os agentes de ameaças começaram a recorrer a outros formatos de arquivo menos usados ??para distribuir malware, como arquivos ISO e arquivos ZIP protegidos por senha.
Esses eram formatos de arquivo populares, pois um bug do Windows permitia que arquivos em imagens ISO ignorassem os avisos de segurança Mark-of-the-Web (MoTW), e o popular utilitário de arquivo 7-Zip não propagava sinalizadores MoTW para arquivos extraídos de arquivos ZIP.
No entanto, depois que o 7-Zip e o Windows corrigiram esses bugs, o Windows mais uma vez começou a exibir avisos de segurança assustadores quando um usuário tentava abrir arquivos em arquivos ISO e ZIP baixados, fazendo com que os agentes de ameaças encontrassem outro formato de arquivo para usar em ataques.
Desde meados de dezembro, os agentes de ameaças passaram a usar outro formato de arquivo para distribuir malware: os anexos do Microsoft OneNote. Esses anexos usam a extensão de arquivo “.one” e são uma escolha interessante, pois não distribuem malware por meio de macros ou vulnerabilidades.
Em vez disso, os agentes de ameaças criam modelos complexos que parecem ser um documento protegido com uma mensagem para “clicar duas vezes” em um elemento de design para visualizar o arquivo, conforme mostrado abaixo.
O que você não vê no anexo acima, porém, é que o “Clique duas vezes para visualizar o arquivo” está, na verdade, ocultando uma série de arquivos incorporados que ficam abaixo da camada do botão. Ao clicar duas vezes no botão, você está clicando duas vezes no arquivo incorporado e fazendo com que o arquivo seja iniciado.
Embora clicar duas vezes em um arquivo incorporado exiba um aviso de segurança, como sabemos de ataques de phishing anteriores abusando de macros do Microsoft Office, os usuários geralmente ignoram os avisos e permitem que o arquivo seja executado de qualquer maneira. Infelizmente, você só precisa de um usuário para acidentalmente permitir que um arquivo malicioso seja executado para que toda uma rede corporativa seja comprometida em um ataque de ransomware completo.
Como bloquear arquivos maliciosos do Microsoft OneNote
A melhor maneira de impedir que anexos maliciosos do Microsoft OneNote infectem o Windows é bloquear a extensão de arquivo “.one” em seus gateways de e-mail seguros ou servidores de e-mail. No entanto, se isso não for possível para o seu ambiente, você também pode usar as políticas de grupo do Microsoft Office para restringir a inicialização de anexos de arquivos incorporados em arquivos do Microsoft OneNote.
Primeiro, instale os modelos de política de grupo do Microsoft 365/Microsoft Office para começar a usar as políticas do Microsoft OneNote. Uma vez instaladas, você encontrará novas políticas do Microsoft OneNote denominadas “Desativar arquivos incorporados” e “Extensões bloqueadas de arquivos incorporados”.
A política de grupo “Desativar arquivos incorporados” é a mais restritiva, pois impede que todos os arquivos incorporados do OneNote sejam iniciados. Você deve ativar esta opção se não tiver nenhum caso de uso para usar anexos incorporados do OneNote.
Quando ativado, uma chave de registro do Windows será criada. Observe que os caminhos podem diferir dependendo da versão do Microsoft Office. Agora, quando um usuário tenta abrir qualquer anexo incorporado em um documento do Microsoft OneNote, ele receberá o seguinte erro.
Uma opção menos restritiva, mas potencialmente mais insegura, é a política de grupo “Extensões bloqueadas de arquivos incorporados”, que permite inserir uma lista de extensões de arquivo incorporadas cuja abertura será bloqueada em um documento do Microsoft OneNote.
Quando ativado, a seguinte chave de registro do Windows será criada com a lista de extensões bloqueadas que você inseriu.
Editor de registro do Windows versão 5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options\embeddedfileopenoptions]
“blockedextensions”=”.js;.exe;.bat;.vbs;.com;.scr;.cmd;.ps1″
Agora, quando um usuário tenta abrir uma extensão de arquivo bloqueada em um documento do Microsoft OneNote, ele receberá o seguinte erro. Portanto, é altamente recomendável bloquear os anexos do OneNote ou, pelo menos, o abuso de tipos de arquivos incorporados em seu ambiente para evitar um ataque cibernético.