
Microsoft Office годами поддерживал ActiveX как вариант расширения и автоматизации документов, но это также было существенной уязвимостью безопасности. Microsoft наконец-то начинает отключать ActiveX в приложениях Microsoft 365, следуя аналогичному шагу в прошлогоднем пакете Office 2024.
Начиная с этого месяца, версии Microsoft Word, Excel, PowerPoint и Visio для Windows в Microsoft 365 будут отключать весь контент ActiveX по умолчанию без отображения уведомления. Mac и веб-версии приложений Office изначально никогда не поддерживали контент ActiveX.
Microsoft заявила в своем блоге: «Предыдущая настройка по умолчанию «Запрашивать перед включением всех элементов управления с минимальными ограничениями» позволяла включать потенциально опасные элементы управления ActiveX, которые могли быть использованы злоумышленниками с помощью социальной инженерии или вредоносных файлов. Новая настройка по умолчанию более безопасна, поскольку она полностью блокирует эти элементы управления, снижая риск вредоносного ПО или несанкционированного выполнения кода».

Это изменение уже было реализовано в Microsoft Office 2024, но теперь оно также появится в приложениях Microsoft 365 на основе подписки. Оно уже доступно в Beta Channel для версии 2504 (сборка 18730.20030) или более поздних версий приложений, и вскоре это изменение должно стать доступно всем пользователям Windows.
Важно отметить, что ActiveX не удаляется полностью из приложений Office. Некоторые организации могут по-прежнему включать эту функцию, а личные учетные записи могут переключаться, перейдя в Файл > Параметры > Центр управления безопасностью > Параметры центра управления безопасностью > Параметры ActiveX > Запрашивать перед включением всех элементов управления с минимальными ограничениями.
Пока-пока, ActiveX
Microsoft выпустила первую версию ActiveX в 1996 году, что позволило веб-сайтам в Internet Explorer и документам в Microsoft Office встраивать сложный код и интерактивный контент. Например, элементы управления ActiveX можно использовать для создания кнопок и контрольных списков в документах Office, которые могут изменять документ или выполнять внешние действия при щелчке.
ActiveX имел некоторые законные применения, но он гораздо более популярен для фишинга и вредоносного ПО. Было много эксплойтов безопасности в ActiveX, которые позволяли, казалось бы, безопасным документам Word или PowerPoint изменять настройки и файлы Windows. Это также было частой угрозой безопасности и конфиденциальности в Internet Explorer, и он никогда не был портирован на его замену, Microsoft Edge.

Microsoft в конечном итоге обновила приложения Office, чтобы не запускать содержимое ActiveX автоматически, но некоторые вредоносные файлы могут успешно обмануть людей, заставив их нажать кнопку «Включить содержимое». Удаление этой опции по умолчанию Microsoft поможет сократить число таких атак, при этом все еще разрешая запускать содержимое ActiveX, если это абсолютно необходимо.
Это изменение кажется последним шагом перед полным удалением ActiveX из приложений Office, но неясно, когда это произойдет (или произойдет ли вообще). Некоторые документы работают правильно только с ActiveX, а новая платформа надстроек Microsoft не является полной заменой. Это примерно настолько безопасно, насколько это возможно для ActiveX.
Microsoft начала автоматически блокировать макросы Visual Basic for Applications (VBA) в документах Office еще в 2022 году, которые также часто использовались для распространения вредоносного ПО. Это изменение было развернуто во всех выпусках приложений Office, которые поддерживались в то время, включая Office LTSC, Office 2021, Office 2019, Office 2016 и Office 2013.
Источник: блог Microsoft 365 Insider