מתקפה חדשה עושה שימוש לרעה בקבצי onenote של מייקרוסופט כדי להדביק משתמשים בתוכנה זדונית
חוקרי אבטחה מעדכנים כי קבצי Microsoft OneNote נמצאים בשימוש הולך וגובר כדי לתקוף משתמשים ולהפיץ תוכנות זדוניות.
OnenNote היא תוכנה המשמשת כמחברת דיגיטלית לרישום הערות וניהול משימות. היא חלק מחבילת office של מיקרוסופט ופופולרית בקרב סטודנטים ואנשי הוראה.
חוקרי האבטחה מסבירים כי מסמכי OneNote הם יעד אטרקטיבי עבור תוקפים מכיוון שגרסאות מסוימת של התוכנה אינן נהנות מהגנת Mark of the Web – MOTW – תכונת אבטחה המשמשת את מיקרוסופט לזיהוי קבצים שהורדו מהאינטרנט. כאשר מורידים קובץ מהאינטרנט, Windows מוסיפה סמן מיוחד לקובץ שנקרא MOTW. הסמן אומר ל-Windows להתייחס לקובץ בזהירות ולנקוט בצעדים נוספים כדי להגן על המשתמש מפני תוכנות זדוניות. סיבה נוספת לכך שOneNote היא יעד מועדף על האקרים – התוכנה מאפשרת להטמיע קבצים מסוגים שונים, כולל סקריפטים וקבצי LNK, בתוך קבצי OneNote.
סקריפט היא תוכנה שמבצעת משימות אוטומטית או מבצעת פעולות ספציפיות על ידי ביצוע קבוצה של הוראות שנכתבו בשפת התכנות שבה היא נכתבה.
קבצי LNK הם קיצורי דרך המספקים דרך נוחה לפתיחה מהירה של תוכנות או קבצים על ידי הצבעה על מיקומם, מאפשרת למשתמשים לגשת אליהם בלחיצה אחת.
על ידי הטמעת קבצים מסוגים אלו בקבצי OneNote, האקרים יכולים להערים על משתמשים לפתוח אותם ולהפעיל קוד זדוני במכשיר הקצה של הקרבן.
מערך הסייבר הלאומי מפרסם מספר המלצות לארגונים בכדי למזער נזקים:
- מנעו ככל האפשר קבלת קבצים מסוג זה בדוא"ל ונטרלו הורדתם מהרשת.
- אם אין אפשרות למנוע את כניסתם לרשת, נטרו, זהו והתריעו למערכת על הפעלתן של תוכנות המאפשרות הרצת סקריפטים, כגון CMD, מתוך היישום onenote.exe.
- מנעו את האפשרות ליצירת הליכים (Processes) מתוך יישומי Office באמצעות שני כלי אבטחה מובנים הקיימים בחלונות 10 ו11 –
Attack surface reduction) ASR) – פועלת על ידי חסימת תכונות/פיצ'רים מסוימים שנמצאים בשימוש נפוץ על ידי תוכנות זדוניות מאפליקציות של אופיס. למשל: חסימת האופציה לבצע macros – כלי אוטומציה של אופיס המאפשר להקליט קבוצה של הוראות ולשמור אותן כדי להפוך משימה לאוטומטית.
Exploit Guard – הפועלת על ידי חסימת התנהגויות מסוימות שנמצאות בשימוש נפוץ על ידי תוכנות זדוניות, כגון מתקפות המנצלות חולשות סביב השחתת זכרון –המנצלות נקודות תורפה ובאגים באופן שבו תוכנות מחשב מאחסנות נתונים בזיכרון – במטרה לגרום להן להפעיל קוד זדוני שהתוקף חפץ בו. - הגברת מודעות – מומלץ לנהוג בחשדנות בכל מקרה בו קיבלתם קבצים מסוג .one
0 תגובות