Mencegah Pengelabuan Microsoft OneNote

Mencegah Pengelabuan Microsoft OneNote
ARTIKEL Email Security

File Microsoft OneNote telah menjadi format file populer yang digunakan untuk menyebarkan malware dan menembus jaringan perusahaan. Kita akan membahas cara mencegah pengelabuan Microsoft OneNote.

Berikut adalah cara mencegah pengelabuan Microsoft OneNote yang berbahaya agar tidak menginfeksi Windows.

Phising Microsoft OneNote

Untuk memberikan sedikit latar belakang tentang bagaimana file Microsoft OneNote menjadi alat pilihan untuk serangan phising yang mendistribusikan malware.

Pelaku menyalahgunakan makro dalam dokumen Microsoft Word dan Excel selama bertahun-tahun untuk mengunduh dan memasang malware di perangkat Windows.

Setelah Microsoft akhirnya menonaktifkan makro secara default di dokumen Word dan Excel Office, pelaku ancaman mulai beralih ke format file lain yang kurang umum digunakan untuk mendistribusikan malware, seperti file ISO dan arsip ZIP yang dilindungi kata sandi.

Ini adalah format file yang populer karena bug Windows memungkinkan file dalam gambar ISO melewati peringatan keamanan Mark-of-the-Web (MoTW).

Dan utilitas arsip 7-Zip yang populer tidak menyebarkan tanda MoTW ke file yang diekstrak dari arsip ZIP.

Namun, setelah 7-Zip dan Windows memperbaiki bug ini, Windows sekali lagi mulai menampilkan peringatan keamanan ketika pengguna mencoba membuka file dalam file ISO dan ZIP yang diunduh, menyebabkan pelaku ancaman menemukan format file lain untuk digunakan dalam serangan.

Sejak pertengahan Desember, pelaku telah beralih ke format file lain untuk mendistribusikan malware, yakni lampiran Microsoft OneNote.

Lampiran Microsoft OneNote

Lampiran Microsoft OneNote menggunakan ekstensi file ‘.one’ dan merupakan pilihan yang menarik, karena tidak mendistribusikan malware melalui makro atau kerentanan.

Sebaliknya, pelaku membuat template rumit yang tampak seperti dokumen yang dilindungi dengan pesan untuk ‘mengklik dua kali’ elemen desain untuk melihat file.

Namun, apa yang tidak Anda lihat dari lampiran tersebut adalah bahwa ‘Klik Dua Kali untuk Melihat File’ sebenarnya menyembunyikan serangkaian file tersemat yang berada di bawah lapisan tombol.

Saat mengklik dua kali pada tombol, Anda mengklik dua kali pada file yang disematkan dan menyebabkan file diluncurkan.

Meskipun mengklik dua kali file yang disematkan akan menampilkan peringatan keamanan, seperti yang kita ketahui dari serangan phising sebelumnya yang menyalahgunakan makro Microsoft Office, pengguna biasanya mengabaikan peringatan dan membiarkan file tetap berjalan.

Sayangnya, Anda hanya diperlukan satu pengguna untuk secara tidak sengaja mengizinkan file berbahaya dijalankan untuk seluruh jaringan perusahaan agar dikompromikan dalam serangan ransomware masif.

Dan ini tidak teoretis, karena dalam beberapa operasi QakBot Microsoft OneNote, ditemukan bahwa mereka pada akhirnya menyebabkan serangan ransomware.

Mencegah Pengelabuan Microsoft OneNote

Cara terbaik untuk mencegah lampiran berbahaya Microsoft OneNote agar tidak menginfeksi Windows adalah dengan memblokir ekstensi file ‘.one’ di gateway email atau server email Anda.

Namun, jika itu tidak memungkinkan untuk lingkungan Anda, juga dapat menggunakan kebijakan grup Microsoft Office untuk membatasi peluncuran lampiran file yang disematkan di file Microsoft OneNote.

Pertama, instal templat kebijakan grup Microsoft 365/Microsoft Office untuk memulai dengan kebijakan Microsoft OneNote.

Sekarang setelah kebijakan diinstal, Anda akan menemukan kebijakan Microsoft OneNote baru bernama ‘Disable embedded files‘ dan ‘Embedded Files Blocked Extension‘.

Kebijakan grup ‘Disable embedded files‘ adalah yang paling ketat karena mencegah semua file OneNote yang disematkan diluncurkan.

Anda harus mengaktifkan opsi ini jika Anda tidak memiliki kasus penggunaan untuk menggunakan lampiran OneNote yang disematkan.

“Untuk menonaktifkan kemampuan menyematkan file di halaman OneNote, sehingga orang tidak dapat mengirimkan file yang mungkin tidak tertangkap oleh perangkat lunak anti-virus, dll,” deskripsi kebijakan grup.

Saat diaktifkan, kunci Registri Windows berikut akan dibuat. Perhatikan bahwa jalurnya mungkin berbeda tergantung pada versi Microsoft Office Anda.

Kesalahan

Sekarang, saat pengguna mencoba membuka lampiran apa pun yang disematkan di dokumen Microsoft OneNote, mereka akan menerima kesalahan berikut.

Opsi yang tidak terlalu ketat, tetapi berpotensi lebih tidak aman, adalah kebijakan grup ‘Embedded Files Blocked Extensions

Yang memungkinkan Anda memasukkan daftar ekstensi berkas yang disematkan yang akan diblokir agar tidak dibuka di dokumen Microsoft OneNote.

Untuk menonaktifkan kemampuan pengguna di organisasi Anda agar tidak dapat membuka lampiran file dari jenis file tertentu dari halaman Microsoft OneNote,

Tambahkan ekstensi yang ingin Anda nonaktifkan menggunakan format ini: ‘.ext1;.ext2;’.

jika Anda ingin menonaktifkan pembukaan lampiran apa pun dari halaman OneNote, lihat kebijakan Nonaktifkan file yang disematkan.

Anda tidak dapat memblokir rekaman audio dan video yang disematkan (WMA & WMV) dengan kebijakan ini sebagai gantinya merujuk pada kebijakan Nonaktifkan file yang disematkan.

Saat diaktifkan, kunci Registri Windows berikut akan dibuat dengan daftar ekstensi yang diblokir yang Anda masukkan.

Sekarang, saat pengguna mencoba membuka ekstensi file yang diblokir di dokumen Microsoft OneNote, mereka akan menerima kesalahan berikut.

Beberapa ekstensi file yang disarankan untuk diblokir adalah .js, .exe, .com, .cmd, .scr, .ps1, .vbs, dan .lnk. Namun, karena pelaku menemukan ekstensi file baru untuk disalahgunakan, daftar ini mungkin dilewati oleh jenis file berbahaya lainnya.

Meskipun memblokir jenis file apa pun tidak selalu merupakan solusi sempurna karena persyaratan lingkungan, hasil dari tidak melakukan apa pun untuk membatasi penyalahgunaan file Microsoft OneNote bisa menjadi lebih buruk.

Oleh karena itu, sangat disarankan untuk memblokir lampiran OneNote, atau setidaknya penyalahgunaan jenis file yang disematkan, di lingkungan Anda untuk mencegah serangan siber.

Baca lainnya:

Sumber berita:

Prosperita IT New