MS OneNote soll künftig 120 gefährliche Filetypen blockieren

[English]Microsoft reagiert wohl auf den Umstand, dass OneNote inzwischen als Malware-Schleuder für Systeme missbraucht wird. Die Anwendung soll zukünftig 120 gefährliche Filetypen blockieren, so dass diese durch Downloads aus dem Internet nicht mehr für Malware-Angriffe missbraucht werden können.

Seit Microsoft und Administratoren von Windows-Systemen mehr in die Makrosicherheit investieren, werden Angriffe über diesen Vektor schwieriger. Inzwischen verwenden Cyberkriminelle OneNote als Einfallstor für Angriffe bzw. zur Verbreitung von Malware. Die Kollegen von Bleeping Computer hatten bereits im Januar 2023 im Beitrag Hackers now use Microsoft OneNote attachments to spread malware darauf hingewiesen, dass Cyberkriminelle sich Microsoft OneNote-Anhängen bedienen, um Malware zu verbreiten. Basis für diese Warnung ist ein Blog-Beitrag von SpiderLabs, die im Dezember 2022 auf Trojaner gestoßen waren, die in OneNote-Dateien mit der Erweiterung .one als E-Mail-Anhang verbreitet wurden.

Öffnet der Nutzer diesen Anhang öffnet sich dieser in OneNote. Klickt der Nutzer eine Warnung, dass eine Datei aus OneNote geöffnet werde, weg, kann eine in der .one-Datei eingebettetes Windows Script File-Script ausgeführt werden. Diese ist dann in der Lage, weiteres Unheil anzurichten. Speziell der Emotet Trojaner wird zunehmend über diesen Vektor verbreitet (siehe Emotet ist im März 2023 zurück, Verbreitung der Malware über OneNote-Anhänge). Mitte März 2023 hatte ich im Beitrag Verbesserte Office-Makrosicherheit führt zu neuen Angriffsmethoden über OneNote & Co. auf diesen Sachverhalt hingewiesen und den Beitrag How to prevent Microsoft OneNote files from infecting Windows with malware von Bleeping Computer verlinkt. Dort fanden sich Hinweise, wie der Angriffsvektor entschärft werden kann. Die Gruppenrichtlinien zum Absichern finden sich in den  Microsoft 365/Microsoft Office group policy templates. Die erforderlichen Richtlinien sind im Beitrag von Bleeping Computer beschrieben.

Ich habe das Thema nicht weiter im Detail verfolgt, bin die Tage aber auf nachfolgenden Tweet der Kollegen von Bleeping Computer gestoßen. Die Botschaft des Beitrags Microsoft OneNote will block 120 dangerous file extensionslautet, dass Microsoft künftig 120 gefährliche Filetypen in OneNote blockieren will.

In einem Eintrag in der Microsoft 365-Roadmap vom 10. März 2023 gab das Unternehmen erstmals bekannt, dass OneNote eine verbesserte Sicherheit erhalten soll. Im Dokument OneNote blocks embedded files that have dangerous extensions vom 28. März 2023 listet nun die Details der kommenden Änderung auf. Was ändert sich dadurch? Bisher gab es eine Warnung in OneNote, wenn die Benutzer Dateien mit MotW-Flag (d.h. Internet Downloads) öffnen wollten. Der Nutzer konnte die Datei trotzdem öffnen. Sobald die Aktualisierung scharf geschaltet ist, kommt zukünftig der Hinweis "Ihr Administrator hat das Öffnen dieses Dateityps in OneNote blockiert."

Ein Microsoft 365-Supportdokument listet 120 Dateitypen auf, die in OneNote, Outlook, Word, Excel und PowerPoin als Internet-Download, d.h. mit Mark of the Web-Flag (MotW) beim Laden blockiert werden sollen. Im Microsoft 365-Supportdokument gibt es aber Hinweise, wie sich solche Dateien sicher teilen lassen (z.B. Upload in OneDrive oder SharePoint mit senden eines Links).

Zudem finden sich im Artikel OneNote blocks embedded files that have dangerous extensions Hinweise, wie sich weitere Dateinamenerweiterungen blockieren lassen. Ein eigener Abschnitt widmet sich zudem der Frage, wie die standardmäßig blockierten Dateierweiterungen zugelassen werden können.

Microsoft plant die Änderung zwischen Ende April 2023 und Ende Mai 2023 in Version 2304 im Current Channel (Preview) für OneNote für Microsoft 365 auf Windows-Geräten auszurollen. In der Microsoft 365-Roadmap heißte es "Rollout startet im April 2023", mehr Details finden sich im Microsoft-Dokument Versions of OneNote affected by this change. Die Kollegen von Bleeping Computer haben alle Details hier zusammen getragen.

Diese neue Sicherheitsfunktion soll auch bei den Einzelhandelsversionen von Microsoft Office 2016 (Current Channel), 2019 und 2021 kommen. Nicht bereitgestellt wird diese neue Sicherheitsfunktion in den Volumenlizenz-Versionen von Office, wie Office Standard 2019 oder Office LTSC Professional Plus 2021. Das neue Feature kommt auch nicht in OneNote for Web, OneNote für Windows 10, OneNote für Mac sowie OneNote auf Android- oder iOS-Geräten.

Ähnliche Artikel: Verbesserte Office-Makrosicherheit führt zu neuen Angriffsmethoden über OneNote & Co. Emotet ist im März 2023 zurück, Verbreitung der Malware über OneNote-Anhänge