Microsoft, kötü amaçlı Microsoft OneNote dosyaları aracılığıyla kötü amaçlı yazılımları yönlendiren kimlik avı saldırılarına karşı gelişmiş koruma sunacak.
Bugün yayınlanan “Microsoft OneNote: bilinen yüksek riskli kimlik avı dosya türlerine karşı gelişmiş koruma” başlıklı yeni bir Microsoft 365 yol haritası girişinde şirket, bu değişikliğin büyük olasılıkla Nisan 2023’ün sonundan önce genel kullanıma sunulacağını açıkladı.
Redmond, “Kullanıcılar yerleşik bir dosyayı OneNote’ta açtığında veya indirdiğinde gelişmiş koruma ekliyoruz” dedi.
“Dosyalar Windows’ta OneNote’ta dosya koruma deneyimini iyileştirmek için tehlikeli kabul edildiğinde kullanıcılar bir bildirim alacak.”
Bu, tehdit aktörlerinin ‘.one’ dosya uzantılarına sahip kötü niyetli bir şekilde hazırlanmış OneNote belgelerini ve hedeflerden belgeyi görüntülemek için tıklamalarını isteyen kaplamaların arkasına gizlenmiş katıştırılmış dosyaları kullandığı yakın tarihli bir kimlik avı saldırıları dalgasından sonra gelir.
Çift tıklama, zararsız görünebilecek ancak ciddi sonuçlara yol açabilecek katıştırılmış dosyayı başlatır.
Ne yazık ki, kullanıcılar güvenlik uyarıları alırken bile genellikle bunları görmezden gelir ve dosyanın çalışmasına izin vererek potansiyel olarak tüm kurumsal ağlarını riske atar.
Bu, Microsoft Office makrolarından yararlanan önceki kimlik avı saldırılarından şimdiye kadar herkesin öğrenmiş olması gereken bir derstir.
Ne yazık ki, bilgi çalan kötü amaçlı yazılımları kendilerine bulaştırmak veya daha da kötüsü bir fidye yazılımı saldırısını tetiklemek için yalnızca bir kullanıcının yanlışlıkla kötü amaçlı bir dosya çalıştırması yeterlidir.
Kötü amaçlı Microsoft OneNote eklerini kullanan kimlik avı saldırılarını engellemek için, .one uzantılı OneNote belgelerini otomatik olarak engelleyecek güvenli posta ağ geçitleri veya posta sunucuları ayarlayabilirsiniz.
Windows yöneticileri, katıştırılmış OneNote dosyalarının başlatılmasını önlemek için Microsoft Office grup ilkelerini de kullanabilir.
Bunu yapmak için, Microsoft 365/Microsoft Office grup ilkesi şablonlarını yüklemeniz ve “Gömülü dosyaları devre dışı bırak” ve “Gömülü Dosyalar Engellenen Uzantılar” Microsoft OneNote ilkelerini etkinleştirmeniz gerekir.
Trustwace’in bu hafta başlarında bildirdiği gibi, tehdit aktörleri hedef odaklı kimlik avı kampanyalarında 2022 Aralık ayının ortasından beri OneNote belgelerini kullanıyor.
Saldırganların, bilgi hırsızları gibi kötü amaçlı yazılım yüklerini indirmek ve yüklemek de dahil olmak üzere çeşitli kötü amaçlı amaçlarla OneNote dosyalarını kötüye kullandığı tespit edildi.
OneNote’a geçiş, Microsoft’un sonunda Word ve Excel makrolarını varsayılan olarak devre dışı bırakmasının ve ISO ve ZIP dosyaları aracılığıyla kötü amaçlı yazılım dağıtmak için kullanılan sıfır günü atlama MoTW’ye yama eklemesinin ardından geldi.