Microsoft OneNote駭客惡意攻擊新寵　揭密最佳防範手法

編譯／鄭智懷

資安專家發現，在微軟（Microsoft）陸續阻止Microsoft Word 和 Excel巨集檔案的自動下載，以及設置ISO和Zip檔案的開啟警告後，駭客在2022年12月中旬開始把目光轉移至Microsoft OneNote檔案，利用其散播惡意軟體或破壞受害者設備。

根據網路媒體BleepingComputer報導，駭客會創設一個以副檔名為「.one」的附件檔案，並將其偽裝成受保護、內含「雙擊以瀏覽文件」（Double Click to View File）消息的文件。實際上，該消息下方已經設置一系列的隱藏惡意檔案。

雖然在雙擊偽造訊息下方的隱藏惡意檔案後，系統仍會跳出警示，但是就如過去的網路釣魚攻擊案例一樣，栽在此次攻擊手法的受害者會忽視警告，允許惡意檔案執行，導致進一步的網路攻擊行動，譬如部分案例曾遭BlackBasta等勒索軟體攻擊。

專家建議，如同過去應對Microsoft Office巨集下載等網路釣魚攻擊手法，最根本的解決之道是留意並拒絕打開可疑的副檔名檔案。在本次攻擊手法中，就是切勿打開副檔名為「.one」的檔案。

然而，基於各種因素考量，用戶也可以使用微軟提供的Microsoft 365/Microsoft Office管理工具，設定在Microsoft OneNote中開啟隱藏的惡意檔案。

在該工具中，用戶可以開啟「禁用內嵌檔案」（Disable embedded files），以及「封鎖內嵌檔案延伸」（Embedded Files Blocked Extensions）兩項功能，防止惡意程式侵害。前者較為嚴格，禁止用戶打開任何Microsoft OneNote檔案中的內嵌檔案，後者則允許用戶打開信任名單中的內嵌檔案。

專家指出，若用戶選擇「封鎖內嵌檔案延伸」（Embedded Files Blocked Extensions），而非更嚴格的「禁用內嵌檔案」功能，建議將副檔名為「.js」、「.exe」、「.com」、「.cmd」、.scr」、「.ps1」、.vbs」與「.lnk」的檔案列入不信任名單之中。值得注意的是，攻擊者可能會利用新的副檔名檔案，散播惡意軟體，因此並非注意上述副檔名檔案就可安然無憂。

資料來源：BleepingComputer

瀏覽 734 次