{"id":278692,"date":"2023-03-14T17:40:56","date_gmt":"2023-03-14T16:40:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278692"},"modified":"2023-03-19T06:33:06","modified_gmt":"2023-03-19T05:33:06","slug":"verbesserte-office-makrosicherheit-fhrt-zu-neuen-angriffsmethoden-ber-onenote-co","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/14\/verbesserte-office-makrosicherheit-fhrt-zu-neuen-angriffsmethoden-ber-onenote-co\/","title":{"rendered":"Verbesserte Office-Makrosicherheit führt zu neuen Angriffsmethoden über OneNote & Co."},"content":{"rendered":"

\"Sicherheit[English<\/a>]Seit Microsoft und Administratoren von Windows-Systemen mehr in die Makrosicherheit investieren, werden Angriffe \u00fcber diesen Vektor schwieriger. Cyberkriminelle suchen nach neuen Wegen, um Malware an die Nutzer zu bringen. OneNote nimmt da eine prominente Position als Einfallstor ein – aber auch andere Dateien und die Mark of the Web-Schwachstelle in Windows werden neuerdings vermehr f\u00fcr Angriffe genutzt.<\/p>\n

<\/p>\n

OneNote als Einfallvektor<\/h2>\n

\"\"Die Kollegen von Bleeping Computer hatten bereits im Januar 2023 im Beitrag Hackers now use Microsoft OneNote attachments to spread malware<\/a> darauf hingewiesen, dass Cyberkriminelle sich Microsoft OneNote-Anh\u00e4ngen bedienen, um Malware zu verbreiten. Basis f\u00fcr diese Warnung ist ein Blog-Beitrag von SpiderLabs<\/a>, die im Dezember 2022 auf Trojaner gesto\u00dfen waren, die in OneNote-Dateien mit der Erweiterung .one als E-Mail-Anhang verbreitet wurden.<\/p>\n

\u00d6ffnet der Nutzer diesen Anhang \u00f6ffnet sich dieser in OneNote. Klickt der Nutzer eine Warnung, dass eine Datei aus OneNote ge\u00f6ffnet werde, weg, kann eine in der .one-Datei eingebettetes Windows Script File-Script ausgef\u00fchrt werden. Diese ist dann in der Lage, weiteres Unheil anzurichten.<\/p>\n

Die Kollegen von Bleeping Computer haben Anfang M\u00e4rz 2023 im Beitrag How to prevent Microsoft OneNote files from infecting Windows with malware<\/a> Hinweise gegeben, wie Administratoren OneOnet als Einfalltor f\u00fcr Malware entsch\u00e4rfen k\u00f6nnen. Die Gruppenrichtlinien finden sich in den\u00a0 Microsoft 365\/Microsoft Office group policy templates<\/a>. Die erforderlichen Richtlinien sind im Beitrag von Bleeping Computer beschrieben.<\/p>\n

Im April 2023 will Microsoft einen verbesserten Schutz gegen Phishing in OneNote implementieren, wie man am 10. M\u00e4rz 2023 im Dokument Microsoft 365\/Microsoft Office group policy templates<\/a> erkl\u00e4rt. Die Kollegen von Bleeping Computer haben hier<\/a> auf diesen Sachverhalt hingewiesen.<\/p>\n

Ab M\u00e4rz 2023 will Microsoft auch damit beginnen, Excel-XLL-Add-ins aus dem Internet zu blockieren, um einen zunehmend beliebten Angriffsvektor f\u00fcr Cyberkriminelle auszuschalten (siehe nachfolgender Tweet<\/a>, der Link im Tweet ist aber verwaist).<\/p>\n

\"Excel-XLL-Add-Ins<\/a><\/p>\n

Die Kollegen von Bleeping Computer haben vor einigen Tagen das Thema im Blog-Beitrag Microsoft Excel now blocking untrusted XLL add-ins by default<\/a> aufgegriffen. Es bleibt aber ein Katz-und-Maus-Spiel zwischen Cyberkriminellen und Sicherheitsverantwortlichen.<\/p>\n

Warnungen und Erkenntnisse von Sophos<\/h2>\n

Parallel dazu ist mir gerade eine Reihe an Tweet von Sicherheitsanbieter Sophos unter die Augen gekommen, der ebenfalls neue Angriffswege f\u00fcr die Verbreitung von Malware thematisiert, nach dem Microsoft die Makrosicherheit erh\u00f6ht hat. Im Oktober 2022 wies Sophos in folgendem Tweet<\/a> und diesem Beitrag<\/a> darauf hin, das Bedrohungsakteure Archivdateien und ISO-Dateien bedienen, um Malware \u00fcber die Mark of the Web-Schwachstelle an Microsofts Sicherheitsmechanismen vorbei zu schleusen.<\/p>\n

\"Archives<\/p>\n

Zum Thema Mark of the Web (MotW) hatte ich im Blog-Beitrag Windows und das \"Mark of the Web\" (MotW) Sicherheitsproblem<\/a> was geschrieben. In einer Serie aktueller Tweets<\/a> weist das Sophos X-Ops-Tem darauf hin, dass Ransomware-Gruppe OneNote und seine .one-Dateien als Einfallsvektor f\u00fcr Malware einsetzen.<\/p>\n

\"OneNote<\/a><\/p>\n

In diesem Blog-Beitrag<\/a> beschreibt Sophos, wie die Angreifer OneNote-Notizb\u00fccher infizieren, um Malware zu verbreiten. Die Kampagnen der Cyberkriminellen basieren auf Social Engineering, um Benutzer zum \u00d6ffnen von .ONE-Dateien mit einer Vielzahl eingebetteter Dateien (HTA, BAT, VBS, WSF, EXE, JSE, CPL, CHM und mehr) zu bewege. Die Sicherheitsforscher erwarten, dass diese Dateien noch vielf\u00e4ltiger werden. Hier ist ein aktuelles Qakbot-Beispiel aus dem Sophos-Blog-Beitrag.<\/p>\n

\"OneNote<\/p>\n

Mitte Dezember 2022 entdeckten die Sophos Sicherheitsforscher erste, geringf\u00fcgige Aktivit\u00e4ten, die im Januar 2023 zunahmen. Erst als die gro\u00dfen Spammer im Februar 2023 aktiv wurden, \u00f6ffneten sich die Schleusen zur Verteilung von Malware \u00fcber diesen Vektor wirklich. Administratoren sollten das Thema also im Auge behalten und die oben skizzierten Richtlinien f\u00fcr Office verwenden, um eingebettete aktive Inhalte in OneNote-Notizb\u00fcchern zu deaktivieren.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows und das \"Mark of the Web\" (MotW) Sicherheitsproblem<\/a>
\nWindows (Mark of the Web) 0-day per JavaScript f\u00fcr Ransomware-Angriffe genutzt<\/a>
\nWindows: 0Patch Micropatch f\u00fcr MotW-Bypassing 0-day (kein CVE)<\/a>
\nMicrosoft Security Update Summary (13. Dezember 2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Seit Microsoft und Administratoren von Windows-Systemen mehr in die Makrosicherheit investieren, werden Angriffe \u00fcber diesen Vektor schwieriger. Cyberkriminelle suchen nach neuen Wegen, um Malware an die Nutzer zu bringen. OneNote nimmt da eine prominente Position als Einfallstor ein – aber … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[396,2718,4328],"class_list":["post-278692","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-makro","tag-onenote","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278692","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278692"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278692\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278692"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278692"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278692"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}