BIO 12.02.01

Microsoft OneNote: Ingesloten Bestanden Uit Internet-zone Blokkeren

📅 2025-10-30
⏱️ 3 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Het blokkeren van ingesloten bestanden in OneNote-documenten afkomstig uit de Internet security zone voorkomt malware-levering via .one-bestanden. Deze maatregel is kritiek sinds de 2023 malware-aanvalsgolf waarbij OneNote de nieuwe macro-vervanger werd nadat macro-blocking in Excel en Word effectief werd.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Microsoft OneNote

Microsoft OneNote is sinds begin 2023 een primaire malware-leveringsmethode geworden nadat Microsoft macro-blocking effectief implementeerde in Excel en Word. De achtergrond is dat aanvallers hun strategie moesten aanpassen omdat macros in Excel/Word nu standaard worden geblokkeerd voor internet-afkomst files, waardoor ze overschakelden naar OneNote als alternatieve delivery vector. De aanvalsmethode werkt als volgt: een kwaadaardig OneNote-bestand (.one) bevat een embedded executable file zoals .exe, .bat, .hta of .cmd die als bijlage in het notebook wordt geplaatst, dit bestand wordt verstuurd als email attachment aan potentiële slachtoffers, de gebruiker opent het OneNote-bestand en ziet een overtuigende UI met tekst zoals 'Double-click to open protected document' of 'Click here to view attachment', en bij dubbelklikken wordt de embedded malware direct uitgevoerd zonder macro-warnings omdat het geen macro is maar een direct executable bestand. De 2023-2024 attack wave levereerde major malware families via OneNote waaronder Qakbot banking trojan, IcedID loader malware, en Emotet botnet malware in massale phishing-campagnes met honderdduizenden aanvallen wereldwijd. Embedded files zoals .exe, .bat, .hta en .cmd kunnen direct code uitvoeren zonder macro-achtige security prompts, wat OneNote bijzonder gevaarlijk maakt. Het blokkeren van embedded files lost dit op door OneNote-bestanden afkomstig uit de Internet security zone (herkend via Mark-of-the-Web) te voorkomen dat embedded files kunnen worden geopend, terwijl trusted files van interne netwerken of SharePoint normaal blijven functioneren. Dit is een critical security control sinds de 2023 attack wave en essentieel voor BIO 12.02 malware protection.

PowerShell Modules Vereist
Primary API: Intune / GPO
Connection: Registry-based
Required Modules:

Implementatie

Deze maatregel configureert de policy 'Embedded files on the Internet Security Zone are blocked from opening in Windows' op Enabled voor Microsoft OneNote. De implementatie gebeurt via Intune Settings Catalog door de OneNote Security Trust Center policy te selecteren en de embedded files blocking te enableren, of via Group Policy met OneNote Administrative Templates. Windows Mark-of-the-Web (MOTW) mechanisme markeert automatisch files die zijn gedownload van internet of email attachments met een Zone.Identifier alternate data stream, waardoor OneNote kan identificeren welke files uit de Internet zone komen. Het effect is dat .one-bestanden met MOTW-markering geen embedded files kunnen openen - gebruikers zien een notification 'This file is blocked for security reasons', terwijl OneNote-bestanden van interne netwerken, SharePoint of trusted locations normally blijven functioneren met embedded files. Deze blocking voorkomt de OneNote malware-delivery methode die sinds 2023 prominent is zonder legitimate business functionality te hinderen omdat corporate OneNote-gebruik zelden embedded executables vereist. De implementatie kost 1-2 uur en is kosteloos. Dit is een must-have security control vanaf 2023 en voldoet aan BIO 12.02.01 en Microsoft Security Advisory requirements.

Vereisten

  1. OneNote 2016+
  2. Intune of GPO
  3. Mark-of-the-Web: Windows feature (automatic)

Implementatie

Intune Settings Catalog: OneNote\Security\Trust Center → Embedded files on the Internet Security Zone are blocked from opening in Windows: Enabled. MOTW = automatic.

Monitoring

Gebruik PowerShell-script embedded-files-blocked.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Gebruik PowerShell-script embedded-files-blocked.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance

Microsoft Security Advisory 2023 (OneNote attacks), BIO 12.02, DISA STIG.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS OneNote: Block Dangerous Embedded Files .DESCRIPTION Implementeert, monitort en herstelt: OneNote: Block Dangerous Embedded Files .NOTES Filename: embedded-files-blocked.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Workload: office Category: onenote #> #Requires -Version 5.1 [CmdletBinding()] param() $ErrorActionPreference = 'Stop' function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Write-Host "[INFO] Invoke-Implementation - OneNote: Block Dangerous Embedded Files" -ForegroundColor Cyan Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() try { Write-Host " ========================================" -ForegroundColor Cyan Write-Host "OneNote: Block Dangerous Embedded Files - Monitoring" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan # TODO: Implementeer monitoring logica voor OneNote: Block Dangerous Embedded Files Write-Host "[INFO] Monitoring check voor OneNote: Block Dangerous Embedded Files" -ForegroundColor Yellow Write-Host "[OK] Monitoring check completed" -ForegroundColor Green } catch { Write-Error "Monitoring failed: $_" throw } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat #> [CmdletBinding()] param() try { Write-Host " ========================================" -ForegroundColor Cyan Write-Host "OneNote: Block Dangerous Embedded Files - Remediation" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan # TODO: Implementeer remediation logica voor OneNote: Block Dangerous Embedded Files Write-Host "[INFO] Remediation voor OneNote: Block Dangerous Embedded Files" -ForegroundColor Yellow Write-Host "[OK] Remediation completed" -ForegroundColor Green } catch { Write-Error "Remediation failed: $_" throw } }

Risico zonder implementatie

Risico zonder implementatie
Critical: KRITIEK: OneNote embedded files = 2023 malware wave (Qakbot, IcedID, Emotet) - direct .exe execution.

Management Samenvatting

Block OneNote embedded files (internet zone). 2023 attack wave prevention. Malware delivery. Zero business impact. Implementatie: 1-2 uur.