OneNote-Dateien und Schadsoftware: Das neue (Alb)Traum-Duo?

20.03.2023
G DATA Blog

Kriminelle verbreiten mit Hilfe von OneNote-Dateien in Mailanhängen seit kurzem Schadsoftware. Darunter ist auch der bereits mehrfach totgesagte „König der Schadsoftware“: Emotet. Wir verraten, was Sie jetzt wissen müssen.

Seit einigen Wochen geistert ein relativ neues Phänomen sowohl durch die Postfächer von Unternehmen als auch durch die Telemetriesysteme von Sicherheitsanbietern: Bösartige OneNote-Mailanhänge. Kriminelle hatten jahrelang einen Liebling für die Verbreitung von Schadsoftware: Das Office-Makro. Microsoft hat – wenn auch sehr spät – reagiert und die Ausführung von Makros in Dateien wie Word-Dokumenten oder Excel-Tabellen standardmäßig unterbunden. Wer dort nun die Ausführung von Makros erlauben möchte, muss bildlich gesprochen durch mehrere brennende Reifen springen.  

Alter Trick im neuen Gewand

Die Schadsoftware posiert stattdessen nun als OneNote-Notiz. Bei der aktuellen Masche erhalten Opfer einen Mailanhang, der ein OneNote-Dokument enthält. Wird dieses geöffnet, sieht der Anwender eine Aufforderung, das schreibgeschützte Dokument mit einem Doppelklick zu öffnen. Wer darauf klickt, startet jedoch in Wirklichkeit den Download der Schadsoftware. Also ist alles dasselbe? Nicht ganz. Aber wo ist nun der Unterschied zum althergebrachten Excel- oder Word-Makro?

OneNote-Dateien und die bekannten Office-Dokumente unterscheiden sich in einem wesentlichen Punkt. Mit der OneNote-Masche sparen Kriminelle ihrem Opfer einen Schritt. Bisher waren Täter in einem Punkt auf die Mithilfe ihrer Opfer angewiesen: Das Opfer musste zuerst die Datei öffnen und dann von Hand den Schutz vor Makros mit einem Klick deaktivieren (Siehe Abbildung). Dieser Schritt entfällt mit der aktuellen Masche. Dabei hilft den Tätern eine Eigenschaft der OneNote-Dateien. Innerhalb dieser Dateien lassen sich nämlich eingebettete Dateien hinter grafischen Elementen verstecken – wie etwa einer Schaltfläche, die zu einem Doppelklick auffordert (Siehe Abbildung). Diese Aktion ist Nutzenden vertraut, denn ein Doppelklick öffnet Dateien. Statt jedoch die vermeintliche OneNote-Datei zu öffnen, startet der Doppelklick direkt eine ausführbare Datei, welche die eigentliche Schadsoftware herunterlädt und das System infiziert. Genau so als würde man im Windows-Explorer eine normale Anwendung öffnen. Es ist also nicht mehr notwendig, Makros erst von Hand zu aktivieren und dabei eine Warnmeldung wegzuklicken.

Was ist OneNote?

Microsoft OneNote ist ein kostenloses Programm von Microsoft, mit dem sich Notizen anlegen lassen. Auch die Einbettung verschiedener Medieninhalte wie Videos ist möglich. So können etwa verschiedene Teams innerhalb eines Unternehmens plattformübergreifend gleichzeitig zum Beispiel an einer Ideensammlung arbeiten.

Wie verbreitet ist die Masche?

Wir beobachten seit einigen Wochen verstärkte Aktivitäten. Die bisher größte Spitze fällt zeitlich mit dem globalen Ausnutzen einer alten Sicherheitslücke in der Virtualisierungsserver-Plattform von VMWare zusammen. Hier kam der Verbreitungsweg über OneNote-Dateien erstmals in größerem Stil zum Tragen.  

Bei Microsoft ist die neue Masche ebenfalls bekannt – ein Update, das ihr einen Riegel vorschieben soll, ist laut Microsoft-Roadmap für April 2023 geplant (Seite in englischer Sprache; Link öffnet sich in einem neuen Fenster).

Bis dahin müssen Anwender*innen besonders auf der Hut sein, insbesondere wenn die OneNote-Dateien per Mail erhalten. G DATA-Kunden sind sowohl durch die klassischen Signaturen als auch durch proaktive Technologien wie BEAST geschützt, die die bisher bekannten Varianten des Anhangs erkennen.

Update: Microsoft sperrt 120 Dateitypen

Microsoft hat nun konkrete Maßnahmen gegen bösartige OneNote-Anhänge angekündigt. So sollen mit dem kommenden Update 2304 insgesamt 120 Dateitypen geblockt werden, die sich in OneNote einbetten lassen. Die Blockierung der Dateitypen betrifft die Windows-Versionen von Office365. Für die Android-, iOS und webbasierten Versionen ändert sich in dieser Hinsicht nichts. 

Tim Berghoff
Security Evangelist

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein