OneNote sempre più utilizzato per diffondere malware: cosa sta succedendo

I criminali informatici hanno abusato per anni delle macro nei documenti Office, prevalentemente in formato Word ed Excel, per installare malware sui dispositivi Windows.
Dopo che Microsoft ha finalmente disabilitato le macro di Office per impostazione predefinita, chi è interessato a sferrare attacchi informatici ha iniziato a utilizzare altre tipologie di file, ad esempio immagini ISO e archivi ZIP protetti da password.

Gli aggressori hanno avuto gioco facile perché sia Windows che utilità di terze parti come 7Zip in alcuni casi specifici non rilevavano correttamente la provenienza dei file.
A novembre 2022 Microsoft ha rilasciato patch che correggono bug nella gestione del Mark-of-the-Web (MotW) ovvero il flag che viene aggiunto per indicare un file che arriva da dispositivi potenzialmente non sicuri.
Anche l’utilità di compressione 7Zip ha abbracciato MotW anche se il meccanismo non è attivo in modo predefinito.

A seguito degli interventi che sono stati applicati, da dicembre 2022 i criminali informatici si sono orientati su un altro formato, quello di Microsoft OneNote.
Gli allegati di OneNote utilizzano l’estensione .one: per come sono strutturati non supportano le macro ma possono comunque essere utilizzati per provocare danni.

Gli aggressori inseriscono in un file OneNote con estensione .one un falso pulsante che reca un’indicazione del tipo “Clicca per visualizzare il documento“. Ciò che succede è che con un semplice doppio clic viene attivato il caricamento di uno script VBS malevolo realizzato ricorrendo a codice VBScript, di cui Microsoft vuole cominciare a sbarazzarsi con il lancio di Windows 11 23H2.

Il file VBScript risulta incorporato nell’allegato OneNote e viene avviato come qualunque altro componente software in Windows.

Come difendersi dai file malevoli in formato OneNote

Un buon approccio per evitare di correre rischi, consiste nel bloccare l’estensione .one a livello di gateway o di server di posta.

In alternativa si possono installare i modelli di criteri di gruppo di Microsoft 365/Microsoft Office quindi premere Windows+R, digitare gpedit.msc, portarsi in Configurazione utente, Modelli amministrativi quindi, nelle policy di OneNote, disattivare il criterio più restrittivo chiamato Disabilita file incorporati oppure aggiungere .one alla lista delle estensioni da bloccare.

La modifica viene memorizzata nel registro di sistema di Windows, all’interno della chiave HKCU\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options: il percorso effettivo può variare a seconda della versione di Office o di Microsoft 365 installata.
I valori utilizzati sono DisableEmbeddedFiles e BlockedExtensions, quest’ultimo aggiunto nella sottochiave EmbeddedFileOpenOptions.