Cách ngăn các tệp Microsoft OneNote lây nhiễm Windows bằng phần mềm độc hại

Tệp Microsoft OneNote dường như vô hại đã trở thành định dạng tệp phổ biến được tin tặc sử dụng để phát tán phần mềm độc hại và xâm phạm mạng công ty. Dưới đây là cách chặn các tệp đính kèm lừa đảo OneNote độc ​​hại lây nhiễm cho Windows.

Tại sao lại là Microsoft OneNote?

Tệp đính kèm Microsoft OneNote sử dụng phần mở rộng tệp ' .one ' và là một lựa chọn thú vị vì chúng không phân phối phần mềm độc hại thông qua macro hoặc lỗ hổng bảo mật.

Thay vào đó, các tác nhân đe dọa tạo các mẫu phức tạp có vẻ như là một tài liệu được bảo vệ với thông báo 'nhấp đúp' vào một yếu tố thiết kế để xem tệp, như minh họa bên dưới.

Tệp đính kèm Microsoft OneNote độc ​​hại

Tuy nhiên, điều bạn không thấy từ tệp đính kèm ở trên là 'Nhấp đúp chuột để xem tệp' thực sự đang ẩn một loạt tệp nhúng nằm bên dưới lớp nút, như được minh họa bên dưới.

Khi nhấp đúp vào nút, bạn đang nhấp đúp vào tệp được nhúng và khiến tệp khởi chạy.

Mặc dù bấm đúp vào một tệp nhúng sẽ hiển thị cảnh báo bảo mật, như chúng ta đã biết từ các cuộc tấn công lừa đảo trước đó lạm dụng macro Microsoft Office, người dùng thường bỏ qua các cảnh báo và vẫn cho phép tệp chạy.

Đáng buồn thay, bạn chỉ cần một người dùng vô tình cho phép một tệp độc hại chạy khiến toàn bộ mạng công ty bị xâm phạm trong một cuộc tấn công ransomware toàn diện.

Và đây không phải là lý thuyết, vì trong một số chiến dịch Microsoft OneNote QakBot, các nhà nghiên cứu bảo mật đã phát hiện ra rằng cuối cùng chúng đã dẫn đến một cuộc tấn công ransomware,  chẳng hạn như BlackBasta , trên một mạng bị xâm nhập.

Cách chặn các tệp Microsoft OneNote độc ​​​​hại

Cách tốt nhất để ngăn các tệp đính kèm Microsoft OneNote độc ​​hại lây nhiễm Windows là chặn phần mở rộng tệp ' .one ' tại các cổng thư bảo mật hoặc máy chủ thư của bạn.

Tuy nhiên, nếu điều đó là không thể đối với môi trường của bạn, thì bạn cũng có thể sử dụng các chính sách nhóm của Microsoft Office để hạn chế khởi chạy các tệp đính kèm tệp được nhúng trong tệp Microsoft OneNote.

Trước tiên, hãy cài đặt  các mẫu chính sách nhóm Microsoft 365/Microsoft Office  để bắt đầu với các chính sách Microsoft OneNote.

Giờ đây, các chính sách đã được cài đặt, bạn sẽ tìm thấy các chính sách Microsoft OneNote mới có tên 'Tắt tệp nhúng' và 'Tiện ích mở rộng chặn tệp nhúng', như minh họa bên dưới.

Chính sách nhóm Microsoft OneNote

Chính sách nhóm ' Vô hiệu hóa các tệp được nhúng ' là hạn chế nhất vì chính sách này ngăn không cho khởi chạy tất cả các tệp OneNote được nhúng. Bạn nên bật tùy chọn này nếu bạn không có trường hợp sử dụng nào để sử dụng các tệp đính kèm OneNote được nhúng.

"Tắt khả năng nhúng tệp trên trang OneNote, để mọi người không thể truyền tệp mà phần mềm chống vi-rút có thể không bắt được, v.v," đọc mô tả chính sách nhóm.

Chính sách nhóm Tắt tệp nhúng

Khi được bật, khóa Windows Registry sau sẽ được tạo. Lưu ý rằng các đường dẫn có thể khác nhau tùy thuộc vào phiên bản Microsoft Office của bạn.

Windows Registry Editor Phiên bản 5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options]
"disableembeddedfiles"=dword:00000001

Bây giờ, khi người dùng cố gắng mở bất kỳ tệp đính kèm nào được nhúng trong tài liệu Microsoft OneNote, họ sẽ nhận được lỗi sau.

Tất cả các tệp đính kèm đều bị chặn trong Microsoft OneNote

Một tùy chọn ít hạn chế hơn, nhưng có khả năng không an toàn hơn, là chính sách nhóm ' Tiện ích mở rộng tệp nhúng ', cho phép bạn nhập danh sách các tiện ích mở rộng tệp nhúng sẽ bị chặn mở trong tài liệu Microsoft OneNote.

"Để vô hiệu hóa khả năng người dùng trong tổ chức của bạn không thể mở tệp đính kèm của một loại tệp cụ thể từ trang Microsoft OneNote, hãy thêm phần mở rộng mà bạn muốn vô hiệu hóa bằng định dạng sau: '.ext1;.ext2;', " đọc mô tả chính sách.

"nếu bạn muốn tắt mở bất kỳ tệp đính kèm nào từ trang OneNote, hãy xem chính sách Tắt tệp nhúng. Bạn không thể chặn bản ghi âm thanh và video được nhúng (WMA & WMV) bằng chính sách này, thay vào đó hãy tham khảo chính sách Tắt tệp nhúng."

Chính sách nhóm Tiện ích mở rộng bị chặn tệp nhúng

Khi được bật, khóa Windows Registry sau đây sẽ được tạo với danh sách các tiện ích mở rộng bị chặn mà bạn đã nhập.

Windows Registry Editor Phiên bản 5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options\embeddedfileopenoptions]
"blockedextensions"=".js;.exe;.bat;.vbs;.com;.scr;.cmd;.ps1"

Bây giờ, khi người dùng cố gắng mở một phần mở rộng tệp bị chặn trong tài liệu Microsoft OneNote, họ sẽ nhận được lỗi sau.

Loại tệp đính kèm bị chặn trong Microsoft OneNote

Một số phần mở rộng tệp được đề xuất chặn là .js , .exe , .com , .cmd , .scr , .ps1 , .vbs và .lnk . Tuy nhiên, khi các tác nhân đe dọa phát hiện ra các phần mở rộng tệp mới để lạm dụng, danh sách này có thể bị bỏ qua bởi các loại tệp độc hại khác.

Mặc dù chặn bất kỳ loại tệp nào không phải lúc nào cũng là giải pháp hoàn hảo do yêu cầu của môi trường, nhưng kết quả của việc không làm gì để hạn chế việc lạm dụng tệp Microsoft OneNote có thể còn tồi tệ hơn.

Do đó, bạn nên chặn các tệp đính kèm OneNote hoặc ít nhất là việc lạm dụng các loại tệp được nhúng trong môi trường của mình để ngăn chặn một cuộc tấn công mạng.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.