GBS iQ.Suite Watchdog eliminiert zuverlässig die Gefahr von OneNote-Anhängen in Phishing-E-Mails
Immer häufiger wird berichtet, dass Hacker eine Sicherheitslücke in Microsoft OneNote ausnutzen, um diese als Anhang für ihre Phishing-E-Mails zu verwenden, die Malware installieren. GBS-Kunden mit dem iQ.Suite Watchdog können jedoch entspannt aufatmen, denn die Anti-Malware-Lösung ist gerüstet, diese Bedrohungen abzufangen und zu neutralisieren.
Laut des Data Breach Investigations Reports von Verizon dringt 94 % der Malware über E-Mails in Unternehmen ein und verwendet dabei überwiegend Anhänge, um ihren bösartigen Code einzuschleusen. Bis vor kurzem nutzten Hacker in ihren Phishing-Kampagnen Makrosschwachstellen in Word und Excel sowie ISO-Images und passwortgeschützte ZIP-Dateien aus. Nachdem die Hersteller diese Schwachstellen beseitigt haben, griffen die Kriminelen auf Microsofts OneNote in Anhängen mit eingebetteten Skripten zur Ausführung mit PowerShell zurück.
Wie funktionieren manipulierte OneNote-Anhänge in Phishing-Attacken?
Microsofts digitale Desktop-Notizbuchanwendung, die keine Makros unterstützt, ist standardmäßig Bestandteil von Microsoft Office 2019 und Microsoft 365. Seit Dezember tauchen Berichte über bösartige Anhänge in Mails auf, die OneNote nutzen, getarnt als Versanddokumente und Benachrichtigungen, Lieferscheine, Rechnungen, etc, die dann per Doppelklick geöffnet werden.
Die Phishing-E-Mail enthält eine OneNote-Datei, die ein verschwommenes Feld “Double Click to View File” anzeigt. Hinter diesem Zeichen verbirgt sich in Wirklichkeit ein Visual Basic Script, das beim Doppelklick ausgeführt wird, so dass automatisch Malware von einem Remote-Server heruntergeladen wird. Auch wenn das Programm eine Warnung ausgibt ( “Opening attachments could harm your computer and data”), wird diese oft nicht beachtet.
Wie können Sie verhindern, dass OneNote-Anhänge Malware in Ihrem Netzwerk verbreiten?
Unbedingt achtsam sein – öffnen Sie generell keine Anhänge aus unbekannten Quellen. Selbst wenn Sie es versehentlich tun, vertrauen Sie der Warnmeldung und fahren Sie mit dem Öffnen der Datei nicht fort. Stellen Sie außerdem sicher, dass Sie eine Multi-Faktor-Authentifizierung und gute AV-Scanner verwenden. Eine weitere Option ist das Blockieren von OneNote-Anhängen.
GBS-Kunden, die bereits die GBS-Antivirenlösung iQ.Suite Watchdog verwenden, müssen sich keine Sorgen machen, dass sie durch bösartige OneNote-Anhänge gefährdet sind.
Wir empfehlen Ihnen dringend OnNote Anhänge in E-Mails zu blockieren. In der iQ.Suite können diese nicht nur über die Dateiendung, sondern auch über Pattern anhand des Inhalts erkannt werden.
Nachfolgend zeigen wir Ihnen, wie Sie auf den einzelnen Plattformen vorgehen müssen, um vor schadhaften OneNote Anhängen geschützt zu sein.
- iQ.Suite für Microsoft Exchange/SMTP (SaaS):
In der MMC unter Basic Configuration > Utility Settings > Fingerprints müssen Sie folgende Fingerprint Jobs hinzuzufügen:
Microsoft OneNote note (*.one)
E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 Startposition: 1 Endposition: 16
3F DD 9A 10 1B 91 F5 49 Startposition: 49 Endposition: 56
Namensmuster: *.one
Microsoft OneNote Ganzes Notizbuch (*.onepkg)
Microsoft: Position 1-6: 4D5343460000
Position 1 bis -1: 004E6F74697A6275636820C3B666666E656E2E6F6E65746F63
Namensmuster: *.onepkg
Anschließend zum iQ.Suite- Watchdog Attachment Filtering Job hinzuzufügen, damit sie entsprechend gefunden und geblockt werden können.
- iQ.Suite für HCL Domino:
Watchdog > Utilities > Fingerprints
0000 10 E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3
0030 08 3F DD 9A 10 1B 91 F5 49
Namensmuster: *.one
0000 06 4D 53 43 46 00 00
00..-1 19 00 4E 6F 74 69 7A 62 75 63 68 20 C3 B6 66 66 6E 65 6E 2E 6F 6E 65 74 6F 63
Namensmuster: *.onepkg
Anschließend müssen Sie die erzeugten Fingerprints in ein geeignetes Dateieinschränkungsdokument inkludieren. Sollte es ein neues Dateieinschränkungsdokument sein, muss dieses noch abschließend mit einem entsprechenden Attachment Filtering Mailjob verknüpft werden.
iQ.Suite Watchdog verwendet neben eigenen Sicherheitsmechanismen bis zu 4 renommierte Antiviren-Scanner, um einen überlegenen mehrstufigen Schutz für Ihre E-Mails zu bieten. Die Lösung erkennt und entfernt schädliche Dateien, JavaScript-Code und Weblinks in PDF-, Word-, Excel- und anderen Anhängen. Darüber hinaus ist es möglich, E-Mail-Anhänge in PDF zu konvertieren, um gefährliche Codes zu eliminieren.
Benötigen Sie professionelle Unterstützung bei der Sicherung Ihrer E-Mail Kommunikation? Sprechen Sie uns gerne an! Gerne unterstützen wir Sie mit unserem Consulting Team.
