OneNote : Microsoft colmate une brèche importante
L’éditeur Microsoft va apporter une mise à jour de sécurité attendue à OneNote, son programme de prise de notes. Dans un message du 29 mars, la firme de Redmond signale en effet que le logiciel bloquera désormais les fichiers intégrés ayant des extensions dangereuses. Jusqu’ici, OneNote indiquait simplement aux utilisateurs via une boîte de dialogue que l’ouverture de la pièce jointe risquait d’endommager l’ordinateur.
publicité
Attaques par hameçonnage
Mais il était toujours possible d’ouvrir le fichier, un risque pour les utilisateurs alors que la vraie nature de l’action engendrée était la plupart du temps dissimulée aux utilisateurs. Après la mise à jour, la boîte de dialogue signalera l’impossibilité d’ouvrir la pièce jointe. Cette mise à jour de OneNote devrait être déployée à partir du mois d’avril. Ce blocage concerne 120 extensions, des fichiers exécutables EXE aux applications hypertexte HTA en passant par des scripts python, par exemple.
Les chercheurs en sécurité Emeric Nasi et Lance James avaient signalé dès le mois d’août 2022 le potentiel de l’application de prise de notes en matière d’attaques par hameçonnage. Outre cette intégration possible d’extensions suspectes, ces derniers observaient que OneNote permettait la lecture sans vue protégée de fichiers Excel ou Word malveillants. Un potentiel également remarqué par les groupes de pirates informatiques. Comme l’avait signalé le Bleeping computer, des groupes d’attaquants s’étaient rapidement rabattus sur les pièces jointes OneNote pour infecter des victimes après la désactivation l’été dernier par Microsoft des macros dans les documents Office.
Campagnes en cours
La société Trustwave avait par exemple signalé au début du mois de décembre la diffusion d’un programme malveillant via une pièce jointe en format OneNote à des mails. L’ouverture de la pièce jointe lançait ensuite l’exécution d’un fichier WSF (Windows Script File) qui aboutissait au téléchargement du malware.
Et après avoir également identifié six campagnes malveillantes en décembre 2022 s’appuyant sur OneNote, les chercheurs de Proofpoint avaient ensuite observé plus de cinquante campagnes actives en janvier 2023. Selon l’entreprise, la faille dans la sécurité de OneNote permettait notamment la distribution du malware bancaire Qbot. Soit la preuve de l’intérêt grandissant des attaquants – qu’il s’agisse de gangs de cybercriminels ou de groupes parrainés par des Etats – pour cette brèche.
