Comment empêcher les fichiers Microsoft OneNote d’infecter Windows avec des logiciels malveillants ?
Les pirates utilisent fréquemment le format de fichier apparemment innocent de Microsoft OneNote pour diffuser des logiciels malveillants et infiltrer les réseaux d’entreprise. Voici comment empêcher Windows d’être infecté par des pièces jointes malveillantes de phishing OneNote.
Nous devons d’abord expliquer comment nous sommes arrivés au point où les fichiers Microsoft OneNote sont devenus le support privilégié des campagnes de phishing qui diffusent des logiciels malveillants.
Depuis des années, les acteurs de la menace téléchargent et installent des logiciels malveillants sur les ordinateurs Windows en exploitant les macros des documents Microsoft Word et Excel.
Ils ont commencé à utiliser des types de fichiers moins courants pour diffuser des logiciels malveillants après que Microsoft ait désactivé les macros par défaut dans les documents Word et Excel. Ces formats de fichiers moins courants comprennent les fichiers ISO et les paquets ZIP protégés par un mot de passe.
Ces types de fichiers étaient largement utilisés parce que le programme d’archivage 7-Zip, très répandu, ne transmettait pas les indicateurs Mark-of-the-Web (MoTW) aux fichiers extraits des archives ZIP, et qu’une faille de Windows permettait aux fichiers des images ISO d’éviter les avertissements de sécurité MoTW.
Les auteurs de menaces ont dû chercher un autre format de fichier à utiliser dans leurs attaques car, après que 7-Zip et Windows ont corrigé ces problèmes, Windows a recommencé à afficher des avertissements de sécurité inquiétants lorsqu’un utilisateur tentait d’accéder aux fichiers ISO et ZIP téléchargés.
Source : BleepingComputer
Depuis la mi-décembre, les auteurs de menaces ont commencé à utiliser les pièces jointes Microsoft OneNote comme nouveau format de fichier pour diffuser des logiciels malveillants.
Pourquoi Microsoft OneNote ?
Les pièces jointes Microsoft OneNote, dont l’extension de fichier est “.one“, constituent une option intéressante car elles ne diffusent pas de logiciels malveillants via des macros ou des failles de sécurité.
Les acteurs de la menace développent plutôt des modèles complexes qui imitent un document protégé et demandent aux utilisateurs de “double-cliquer” sur un élément de conception pour accéder au fichier, comme le montre l’exemple ci-dessous.
Source : BleepingComputer
Le bouton “Double-cliquer pour voir le fichier” cache en fait un certain nombre de fichiers intégrés situés derrière le bouton, comme illustré ci-dessous, que vous ne pouvez pas voir depuis la pièce jointe du haut.
Source : BleepingComputer
Le fichier se lance lorsque vous double-cliquez sur le bouton, qui double-clique également sur le fichier intégré.
Comme nous l’avons appris lors d’opérations de phishing antérieures qui utilisaient des macros Microsoft Office, le fait de double-cliquer sur un fichier incorporé affiche un avertissement de sécurité ; cependant, les utilisateurs ignorent souvent les avertissements et laissent le malware s’exécuter malgré tout.
Cependant, il suffit qu’un utilisateur autorise par erreur l’exécution d’un fichier malveillant pour qu’une attaque de ransomware de grande envergure corrompe tout un réseau d’entreprise.
Et ce n’est pas qu’une théorie ; des experts en sécurité ont découvert que certaines opérations de Microsoft OneNote QakBot ont entraîné des attaques de ransomware comme BlackBasta sur un réseau compromis.
Comment bloquer les fichiers Microsoft OneNote malveillants ?
Le blocage de l’extension de fichier “.one” au niveau de vos passerelles de messagerie ou de vos serveurs de messagerie sécurisés est la technique la plus simple pour empêcher les pièces jointes frauduleuses de Microsoft OneNote de corrompre Windows.
Pour empêcher le lancement de pièces jointes intégrées dans des fichiers Microsoft OneNote, vous pouvez également utiliser les stratégies de groupe de Microsoft Office si cela n’est pas possible dans votre environnement.
Pour commencer à utiliser les stratégies Microsoft OneNote, installez d’abord les modèles de stratégie de groupe Microsoft 365/Microsoft Office.
Une fois les stratégies installées, vous pouvez localiser les nouvelles stratégies Microsoft OneNote portant les noms “Désactiver les fichiers incorporés” et “Fichiers incorporés dont les extensions sont interdites”, comme illustré ci-dessous.
Source : BleepingComputer
La stratégie de groupe la plus contraignante est “Disable embedded files“, qui interdit l’ouverture de tout fichier OneNote intégré. Si vous n’avez pas besoin d’utiliser des pièces jointes OneNote intégrées, vous devriez activer cette option.
“La description de la stratégie de groupe indique qu’il s’agit de “désactiver la possibilité d’intégrer des fichiers à une page OneNote, afin que les personnes ne puissent pas transférer des éléments qui pourraient ne pas être découverts par un logiciel antivirus, etc.
Source : BleepingComputer
La clé de registre Windows suivante sera générée lors de l’activation. Gardez à l’esprit que selon votre version de Microsoft Office, les routes pourraient changer.
Éditeur du Registre Windows Version 5.00
[HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftoffice16.0onenoteoptions] “disableembeddedfiles”=dword:00000001Désormais, lorsqu’un utilisateur tente d’ouvrir une pièce jointe intégrée à un document Microsoft OneNote, il reçoit l’erreur suivante.
Source : BleepingComputer
Une option moins restrictive, mais potentiellement plus dangereuse, est la stratégie de groupe “Extensions de fichiers intégrés bloquées“, qui vous permet de saisir une liste d’extensions de fichiers intégrés dont l’ouverture sera bloquée dans un document Microsoft OneNote.
“Pour désactiver la capacité des utilisateurs de votre organisation à ouvrir une pièce jointe d’un type de fichier spécifique à partir d’une page Microsoft OneNote, ajoutez les extensions que vous souhaitez désactiver en utilisant ce format : ‘.ext1 ;.ext2;'”, peut-on lire dans la description de la politique.
“Si vous souhaitez désactiver l’ouverture de toute pièce jointe à partir d’une page OneNote, consultez la politique Désactiver les fichiers intégrés. Vous ne pouvez pas bloquer les enregistrements audio et vidéo intégrés (WMA et WMV) avec cette politique ; reportez-vous plutôt à la politique Désactiver les fichiers intégrés.”
Source : BleepingComputer
La liste des extensions que vous avez soumise sera ajoutée à la valeur suivante du registre Windows une fois qu’elle sera activée.
Éditeur du registre Windows, version 5.00
[HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftoffice16.0onenoteoptionsembeddedfileopenoptions] “blockedextensions”=”.js ;.exe ;.bat ;.vbs ;.com ;.scr ;.cmd ;.ps1″L’erreur suivante apparaîtra désormais si un utilisateur tente d’ouvrir une extension de fichier interdite dans un document Microsoft OneNote.
Source : BleepingComputer
Il est recommandé de bloquer les extensions de fichiers suivantes : .js, .exe, .com, .cmd, .scr, .ps1, .vbs et .lnk. Cependant, cette liste peut être contournée par d’autres types de fichiers malveillants, les acteurs de la menace trouvant de nouvelles extensions de fichiers à exploiter.
Les conséquences de ne rien faire pour empêcher l’utilisation abusive des fichiers Microsoft OneNote peuvent parfois être encore pires, même si l’interdiction de tout type de fichier n’est pas toujours la meilleure option en raison des besoins d’un environnement.
Pour éviter une cyberattaque, il est donc fortement recommandé de configurer votre environnement de manière à limiter les pièces jointes OneNote ou, à tout le moins, l’utilisation abusive des types de fichiers intégrés.
French 
Italian 