Microsoft OneNote ได้กลายเป็นที่นิยมของกลุ่ม Hacker ในการโจมตี และแพร่กระจายมัลแวร์บนระบบของเป้าหมาย เนื่องจากปัจจุบัน Microsoft ได้ปิดการใช้งาน macro เป็นค่าเริ่มต้นใน Word Office และ Excel Office
จึงทำให้กลุ่ม Hacker ต้องเปลี่ยนวิธีการโจมตีไปใช้วิธีการอื่น ๆ เช่น ไฟล์ ISO และไฟล์ ZIP ที่เข้ารหัส เนื่องจากช่องโหว่บน Windows ทำให้ไฟล์ ISO images สามารถหลีกเลี่ยงการตรวจสอบของฟีเจอร์ Mark-of-the-Web (MoTW) ซึ่งรวมไปถึง 7-Zip archive utility ด้วยเช่นกัน แต่ต่อมาทาง 7-Zip และ Windows ได้ทำการแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว ทำให้ Hacker จึงเปลี่ยนมาใช้การส่งไฟล์ OneNote ที่แนบไฟล์ที่เป็นอันตรายแทน
การโจมตีผ่าน Microsoft OneNote
การโจมตีโดยใช้ไฟล์แนบใน Microsoft OneNote ที่ใช้นามสกุลไฟล์ '.one' เป็นวิธีที่ Hacker ใช้ในการโจมตี เนื่องจากไม่ต้องโจมตีผ่าน Macro หรือช่องโหว่ ที่ Microsoft ได้ปิดไปแล้ว
โดยในตัวเอกสาร OneNote จะเป็นเทมเพลตที่ซับซ้อนซึ่งดูเหมือนจะเป็นเอกสารที่มีการป้องกันพร้อมข้อความให้ ‘double-click’ เพื่อดูเอกสารข้างใน
ซึ่งสิ่งที่อยู่ด้านหลังปุ่มนั้นคือไฟล์อันตรายที่ถูกฝังไว้ เมื่อ double-click จะทำให้ไฟล์เริ่มทำงาน ซึ่งก่อนที่ไฟล์จะเริ่มทำงานมักจะมีหน้าต่างความปลอดภัยขึ้นแจ้งเตือน แต่ผู้ใช้งานมักจะเพิกเฉยต่อคำเตือน และปล่อยให้ไฟล์ทำงานต่อไป หลังจากนั้นไฟล์อันตรายก็จะทำการโจมตีระบบในเครือข่ายต่อไป
วิธีบล็อกไฟล์ Microsoft OneNote ที่เป็นอันตราย
วิธีที่ดีที่สุดในการป้องกันไฟล์แนบ Microsoft OneNote ที่เป็นอันตราย คือการบล็อกนามสกุลไฟล์ ' .one ' ที่ mail gateway หรือ mail server แต่ถ้าไม่สามารถทำได้ ก็มีอีกวิธีหนึ่ง นั่นคือการกำหนดค่าที่ Microsoft Office group policies เพื่อจำกัดการเปิดใช้ไฟล์แนบแบบฝังในไฟล์ Microsoft OneNote
โดยสามารถทำได้โดยทำการติดตั้ง Microsoft 365/Microsoft Office group policy templates เพื่อใช้ในการกำหนดค่า เมื่อติดตั้งสำเร็จแล้ว และเปิดใช้งานจะพบ Microsoft OneNote policies ใหม่ที่ชื่อว่า 'Disable embedded files' และ 'Embedded Files Blocked Extensions,'
'Disable embedded files' เป็น group policy ที่มีข้อจำกัดมากที่สุด เนื่องจากจะป้องกันไม่ให้เปิดใช้ไฟล์ OneNote ที่ฝังไว้ทั้งหมด ผู้ใช้งานควรเปิดใช้งานตัวเลือกนี้หากไม่มีการใช้งานสำหรับการใช้งานในลักษณะที่มีไฟล์แนบมากับ OneNote โดยในรายละเอียดของ group policy ได้ระบุไว้ดังนี้ "เมื่อต้องการปิดใช้งานความสามารถในการฝังไฟล์บน OneNote เพื่อให้ผู้อื่นไม่สามารถส่งไฟล์ที่อาจไม่ถูกตรวจจับโดยซอฟต์แวร์ป้องกันไวรัส ฯลฯ"
หลังจากที่กำหนดค่าใน Disable embedded files แล้ว หากลองทำการทดสอบโดยการเปิดใช้งานไฟล์ที่มีการสร้าง Windows Registry ขึ้น ซึ่งจะไม่สามารถทำได้ และขึ้นหน้าต่างแจ้งเตือนขึ้นมา
'Embedded Files Blocked Extensions' เป็น group policy ที่มีข้อจำกัดน้อยกว่า และปลอดภัยน้อยกว่า ซึ่งอนุญาตให้ผู้ใช้งานใส่ข้อมูลไปยัง extension ของไฟล์ที่ฝังไว้ซึ่งจะถูกบล็อกไม่ให้เปิดในเอกสาร Microsoft OneNote โดยในรายละเอียดของ group policy ได้ระบุไว้ดังนี้ "หากต้องการปิดไม่ให้ผู้ใช้งานในองค์กรเปิดไฟล์แนบของไฟล์ประเภทใดประเภทหนึ่งจากหน้า Microsoft OneNote ให้เพิ่ม extension ที่คุณต้องการปิดใช้โดยใช้รูปแบบนี้: '.ext1;.ext2;' และหากต้องการปิดใช้งานการเปิดไฟล์แนบใด ๆ จากหน้า OneNote ให้เลือกใช้ Embedded Files policy เนื่องจากไม่สามารถปิดกั้นการบันทึกเสียง และวิดีโอที่ฝัง (WMA & WMV) ด้วย policy นี้ได้"
หลังจากที่กำหนดค่าใน 'Embedded Files Blocked Extensions แล้ว หากลองทำการทดสอบโดยการเปิดใช้งานไฟล์ที่มีการสร้าง Windows Registry พร้อมกับรายการ extension ที่ถูกบล็อก ซึ่งจะไม่สามารถทำได้ และขึ้นหน้าต่างแจ้งเตือนขึ้นมา
โดยแนะนำให้ทำการบล็อกนามสกุลไฟล์ .js, .exe, .com, .cmd, .scr, .ps1, .vbs และ .lnk แต่อย่างไรก็ตาม Hacker มักจะมีวิธีการในการปรับรูปแบบการโจมตีอยู่เสมอ จึงขอให้ทำการติตามเฝ้าระวังอย่างสม่ำเสมอ
แม้ว่าการบล็อกไฟล์ประเภทใดก็ตามจะไม่ใช่วิธีแก้ปัญหาที่สมบูรณ์ แต่เนื่องจากปัจจุบันยังไม่มีวิธีการแก้ไขปัญหาโดยตรง การบล็อกไฟล์เพื่อจำกัดการใช้ไฟล์ Microsoft OneNote ที่เป็นอันตรายจึงถือเป็นวิธีหนึ่งในการป้องกัน
ที่มา : bleepingcomputer
You must be logged in to post a comment.