Microsoft 365 отключит ActiveX из-за чрезмерного использования хакерами

Microsoft Office уже много лет поддерживает ActiveX как средство расширения и автоматизации документов, но это также является серьезной уязвимостью безопасности. Теперь Microsoft наконец-то начинает отключать ActiveX в приложениях Microsoft 365, следуя аналогичному шагу с пакетом Office 2024 в прошлом году.

Важные изменения безопасности

Начиная с этого месяца в версиях Microsoft Word, Excel, PowerPoint и Visio для Windows в Microsoft 365 по умолчанию будет отключен весь контент ActiveX без отображения уведомления. Версии Office для Mac и веб-версии никогда не поддерживали ActiveX.

« Предыдущая настройка по умолчанию позволяла пользователям включать потенциально опасные элементы управления ActiveX, которые могли быть использованы хакерами с помощью социальной инженерии или вредоносных файлов. Новая настройка по умолчанию более безопасна, поскольку она полностью блокирует эти элементы управления, снижая риск вредоносного ПО или несанкционированного выполнения кода » , — говорится в сообщении Microsoft в блоге.

Это изменение было реализовано в Microsoft Office 2024, но теперь оно будет применяться и к подписным приложениям Microsoft 365. В настоящее время эта функция доступна на канале Beta для версии 2504 (сборка 18730.20030) и выше и вскоре будет доступна всем пользователям Windows.

ActiveX не полностью удален

Важно отметить, что ActiveX не полностью удален из приложений Office. В некоторых организациях эта функция может быть по-прежнему включена, и отдельные учетные записи могут повторно включить ее, перейдя в:
Файл > Параметры > Центр управления безопасностью > Параметры центра управления безопасностью > Параметры ActiveX > Запрашивать перед включением всех элементов управления с минимальными ограничениями .

В 1996 году Microsoft выпустила первую версию ActiveX, что позволило встраивать сложный код и интерактивный контент в веб-страницы Internet Explorer и документы Office. Например, ActiveX может создавать кнопки и контрольные списки в документах Office, которые могут изменять документ или выполнять внешние действия при нажатии.

Хотя ActiveX имеет некоторые законные применения, он более известен фишинговыми атаками и вредоносным ПО. Было обнаружено множество уязвимостей ActiveX, которые позволяют, казалось бы, безопасному документу Word или PowerPoint изменять настройки и файлы Windows. Это также частая угроза безопасности и конфиденциальности в Internet Explorer, которая никогда не распространялась на Microsoft Edge.

Ранее Microsoft обновила приложения Office, чтобы они не запускали содержимое ActiveX автоматически, но некоторые вредоносные файлы все еще могут заставить пользователей нажать кнопку «Включить содержимое». Удаление этой опции по умолчанию от Microsoft должно помочь снизить количество атак, при этом ActiveX по-прежнему будет работать в случае крайней необходимости.

Похоже, что указанное выше изменение является последним шагом перед полным удалением ActiveX из Office, но пока неясно, когда это произойдет (и произойдет ли вообще). Некоторые документы корректно работают только с ActiveX, и новая платформа надстроек Microsoft не является полноценной заменой.

Отключение ActiveX — это еще один шаг Microsoft по снижению рисков безопасности, особенно с учетом того, что фишинговые атаки и атаки вредоносного ПО становятся все более изощренными.