【群情洶湧】Microsoft OneNote未受MOTW保護　可隨意附加惡意檔案

Microsoft早年引入 Mark-of-the-Web（MOTW）功能，又在去年開始阻止 Office 應用工具執行文件檔案內的 Macro 功能，用家以為可以放心使用？原來細心的黑客又再找到安全漏洞，借助未受保護的 OneNote 協助工具上載包含惡意功能的檔案。漏洞一曝光，黑客集團即爭相濫用！

MOTW 是 Microsoft 於 2016 年引入的安全機制，它的主要作用是為下載的檔案追查來源，並為檔案加上一個 ZoneID 標記，如發現這個標記屬不安全，瀏覽器或防毒軟件就會發出警告，而在 Microsoft 未禁止 Office 工具執行 Macro 功能前，只要系統發現 MOTW 有問題，便只允許用家在sandbox安全環境內打開含 Macro 的檔案。

不過，去年八月網絡安全研究員發現，MOTW 功能原來未有應用到 OneNote 的附件檔案上，令黑客可以於 OneNote 的事件上，加添含有惡意功能的檔案，再引誘目標人士執行，將惡意軟件安裝到對方的電腦上。

去年 12 月及今年一月，安全公司 Proofpoint 觀察到超過 50 個惡意攻擊活動，濫用 OneNote 附件功能，包括為人熟悉的 AsyncRAT、Redline、AgentTesla 及 XWorm 等，而專門銷售企業入侵立足點的 TA577 黑客集團，亦在今年一月尾加入，目的是在對方電腦上安裝 Qbot 殭屍網絡。從專家觀察到的情況可見，有些黑客專門攻擊中小企，亦有黑客集團瞄準北美及歐洲的大企業。

Proofpoint 安全專家指出，他們曾將初期捕獲的惡意檔案，與開源病毒資料庫的記錄對照，發現所持有的惡意檔案，未能被大部分主流防毒軟件偵測得到，意味這波持續約四個月的攻擊成功率極高，由於已繞過防毒軟件偵測，因而亦未被記錄在公開資料庫上。

雖然 Microsoft 上月已靜靜地修補這個漏洞，但有專家發現，仍未能完全消除不穩因素，黑客仍有機會以相同手法，引誘目標人士打開有問題的檔案。專家建議，企業應加強培訓員工的安全意識，讓員工知道就算使用的安全工具受到保護，仍有可能被黑客利用，必須謹記不能打開任何可疑檔案或連結。

資料來源：https://www.securityweek.com/microsoft-onenote-abuse-for-malware-delivery-surges/

相關文章：【真假難分】Windows CryptoAPI偽冒漏洞　可信證書不可信