【群情洶湧】Microsoft OneNote未受MOTW保護 可隨意附加惡意檔案
Microsoft早年引入 Mark-of-the-Web(MOTW)功能,又在去年開始阻止 Office 應用工具執行文件檔案內的 Macro 功能,用家以為可以放心使用?原來細心的黑客又再找到安全漏洞,借助未受保護的 OneNote 協助工具上載包含惡意功能的檔案。漏洞一曝光,黑客集團即爭相濫用!
MOTW 是 Microsoft 於 2016 年引入的安全機制,它的主要作用是為下載的檔案追查來源,並為檔案加上一個 ZoneID 標記,如發現這個標記屬不安全,瀏覽器或防毒軟件就會發出警告,而在 Microsoft 未禁止 Office 工具執行 Macro 功能前,只要系統發現 MOTW 有問題,便只允許用家在sandbox安全環境內打開含 Macro 的檔案。
不過,去年八月網絡安全研究員發現,MOTW 功能原來未有應用到 OneNote 的附件檔案上,令黑客可以於 OneNote 的事件上,加添含有惡意功能的檔案,再引誘目標人士執行,將惡意軟件安裝到對方的電腦上。
去年 12 月及今年一月,安全公司 Proofpoint 觀察到超過 50 個惡意攻擊活動,濫用 OneNote 附件功能,包括為人熟悉的 AsyncRAT、Redline、AgentTesla 及 XWorm 等,而專門銷售企業入侵立足點的 TA577 黑客集團,亦在今年一月尾加入,目的是在對方電腦上安裝 Qbot 殭屍網絡。從專家觀察到的情況可見,有些黑客專門攻擊中小企,亦有黑客集團瞄準北美及歐洲的大企業。
Proofpoint 安全專家指出,他們曾將初期捕獲的惡意檔案,與開源病毒資料庫的記錄對照,發現所持有的惡意檔案,未能被大部分主流防毒軟件偵測得到,意味這波持續約四個月的攻擊成功率極高,由於已繞過防毒軟件偵測,因而亦未被記錄在公開資料庫上。
雖然 Microsoft 上月已靜靜地修補這個漏洞,但有專家發現,仍未能完全消除不穩因素,黑客仍有機會以相同手法,引誘目標人士打開有問題的檔案。專家建議,企業應加強培訓員工的安全意識,讓員工知道就算使用的安全工具受到保護,仍有可能被黑客利用,必須謹記不能打開任何可疑檔案或連結。
資料來源:https://www.securityweek.com/microsoft-onenote-abuse-for-malware-delivery-surges/
相關文章:【真假難分】Windows CryptoAPI偽冒漏洞 可信證書不可信