Η Microsoft ανακοίνωσε ότι θα αρχίσει να απενεργοποιεί όλα τα στοιχεία ελέγχου ActiveX σε εκδόσεις Windows των εφαρμογών Microsoft 365 και Office 2024 αργότερα αυτό το μήνα.
Εισήχθη πριν από σχεδόν τρεις δεκαετίες, το 1996, το ActiveX είναι ένα πλαίσιο λογισμικού παλαιού τύπου που επιτρέπει στους προγραμματιστές να δημιουργούν διαδραστικά αντικείμενα που ενσωματώνονται σε έγγραφα γραφείου.
Μετά από αυτή την αλλαγή, το ActiveX θα μπλοκαριστεί εξ ολοκλήρου και χωρίς ειδοποίηση σε Word, Excel, PowerPoint και Visio για να μειώσει τον κίνδυνο κακόβουλου λογισμικού ή μη εξουσιοδοτημένης εκτέλεσης κώδικα.
Όταν ανοίγετε έγγραφα με στοιχεία ελέγχου ActiveX, μια ειδοποίηση θα εμφανιστεί στην κορυφή με ένα κουμπί “Μάθετε περισσότερα” λέγοντας, “Αποκλεισμένο περιεχόμενο: Το περιεχόμενο ActiveX σε αυτό το αρχείο έχει αποκλειστεί”.
Η Microsoft προειδοποίησε επίσης τους χρήστες γραφείου σε ένα ξεχωριστό έγγραφο υποστήριξης Για να μην ανοίξετε απροσδόκητα συνημμένα αρχείων ή να αλλάξετε τις ρυθμίσεις ActiveX όταν σας ζητηθεί από τυχαία αναδυόμενα παράθυρα και άγνωστα άτομα.
“Όταν το ActiveX είναι απενεργοποιημένο, δεν θα είστε πλέον σε θέση να δημιουργήσετε ή να αλληλεπιδράσετε με αντικείμενα ActiveX σε αρχεία Microsoft 365. Ορισμένα υπάρχοντα αντικείμενα ActiveX θα εξακολουθούν να είναι ορατά ως στατική εικόνα, αλλά δεν θα είναι δυνατό να αλληλεπιδράσουν με αυτά”. είπε ο Zaeem Patelένας διαχειριστής προϊόντων στην ομάδα ασφαλείας του γραφείου.
Η Microsoft λέει ότι όσοι θέλουν να ενεργοποιήσουν τους ελέγχους ActiveX μπορούν να το κάνουν μέσω του Κέντρου Εμπιστοσύνης, περνώντας από τα παρακάτω βήματα (αλλά είναι σημαντικό να σημειωθεί ότι αυτό θα επιτρέψει την ActiveX σε όλες τις εφαρμογές γραφείου, συμπεριλαμβανομένων των Word, PowerPoint, Excel και Visio):
- Επιλέγω Αρχείοτότε Επιλογές.
- Επιλέγω Κέντρο εμπιστοσύνηςτότε το Ρυθμίσεις του κέντρου εμπιστοσύνης κουμπί.
- Επιλέγω Ρυθμίσεις ActiveXτότε βεβαιωθείτε “Με προτρέψτε πριν ενεργοποιήσω όλα τα στοιχεία ελέγχου με ελάχιστους περιορισμούς “ είναι ενεργοποιημένο.
- Επιλέγω ΕΝΤΑΞΕΙ, τότε ΕΝΤΑΞΕΙ Και πάλι για να αποθηκεύσετε τις ρυθμίσεις σας και να επιστρέψετε στο έγγραφό σας.
“Για τη βέλτιστη ασφάλεια, η Microsoft ενθαρρύνει έντονα την αποχώρηση από την ActiveX Controls απενεργοποιημένη εκτός εάν είναι απολύτως απαραίτητο”, προειδοποίησε η Microsoft.
Η απόφαση για απενεργοποίηση από προεπιλογή προκλήθηκε πιθανώς από τα γνωστά ζητήματα ασφαλείας της ActiveX, συμπεριλαμβανομένων των τρωτών σημείων μηδενικής ημέρας που εκμεταλλεύτηκαν από διάφορες κρατικές και οικονομικά παρακινημένες ομάδες απειλών για την ανάπτυξη κακόβουλου λογισμικού.
Οι εγκληματίες του κυβερνοχώρου έχουν επίσης χρησιμοποιήσει τα στοιχεία ελέγχου ActiveX που είναι ενσωματωμένα σε έγγραφα λέξεων για να εγκαταστήσουν το κακόβουλο λογισμικό και το κοβάλτιο απεργούν τους φάρους για να παραβιάσουν και να διατηρήσουν την πρόσβαση σε δίκτυα επιχειρήσεων,
Αυτή η κίνηση είναι επίσης μια πολύ ευρύτερη προσπάθεια για την κατάργηση ή την απενεργοποίηση των χαρακτηριστικών των παραθύρων και των γραφείων που οι επιτιθέμενοι έχουν κακοποιηθεί για να μολύνουν τους πελάτες της Microsoft με κακόβουλο λογισμικό. Πηγαίνει πίσω στο 2018 όταν η Microsoft επέκτεινε υποστήριξη για τη διεπαφή Scan Scan (AMSI) στο Office 365 για να αποτρέψει τις επιθέσεις χρησιμοποιώντας μακροεντολές VBA Office.
Από τότε, ο Redmond έχει επίσης αρχίσει να μπλοκάρει τις μακροεντολές VBA Office από προεπιλογή, εισήγαγε τις μακροεντολές XLM, τις μακροεντολές του Excel 4.0 (XLM) και άρχισε να εμποδίζει τα μη αξιόπιστα πρόσθετα XLL από προεπιλογή από τους ενοικιαστές της Microsoft 365. Η Microsoft ανακοίνωσε επίσης τον Μάιο του 2024 ότι θα σκότωσε το VBScript, καθιστώντας το χαρακτηριστικό κατά παραγγελία μέχρι να αφαιρεθεί εντελώς.
VIA: bleepingcomputer.com
