自 2018 年以来,Microsoft 一直在与为不良行为者提供切入点的传统 Office 功能作斗争。
从 10 月开始,Microsoft 将在 Office 套件中默认禁用 ActiveX 控件,从 Office 2024 的发布开始。逐步淘汰软件框架可能与过去被利用的许多安全漏洞有关。ActiveX 可以追溯到 1996 年,长期以来一直用于在 Office 文档中嵌入交互式对象,例如按钮或表单。它以前用于在 Internet Explorer 中加载多媒体内容,如视频。但是,Microsoft 最新的 Edge 浏览器不支持它。禁用 ActiveX 后,Office 用户将无法再与 ActiveX 对象交互或创建新对象。但某些旧版 ActiveX 对象仍将作为静态图像可见。“从新的 Office 2024 开始,ActiveX 对象的默认配置设置将从’在启用限制最少的所有控件之前提示我’更改为’禁用所有控件而不通知’,”9 月 6 日的 Microsoft 365 消息中心的条目中写道。 “此更改适用于 Word、Excel、PowerPoint 和 Visio 的 Win32 桌面版本。” 变化将分阶段进行该更新补充说,非商业版本的Office用户,如Office家庭和学生版,在尝试与ActiveX对象交互时将看到一条通知,内容为:“新的默认设置等同于现有的DisableAllActiveX组策略设置。 更改的推出将分阶段进行。默认情况下,适用于 Win32 桌面应用程序的 Office 2024 将在启动时立即禁用 ActiveX 控件。Microsoft 365 应用程序将于 2025 年 4 月效仿。 仍需要在 Office 文档中使用 ActiveX 的用户必须通过信任中心中的设置调整、注册表编辑或组策略配置手动启用该功能。 如何启用 ActiveX要从默认的禁用设置中启用 ActiveX 控件,请执行以下任一操作: - 在 Office 应用程序中,导航到 “文件→选项 ”→ 信任中心 → 信任中心设置 → ActiveX 设置”。选择“在启用限制最少的所有控件之前提示我”选项。
- 在注册表或组策略管理工具中,导航到 HKEY_CURRENT_USER\Software\Microsoft\Office\Common\Security。将“DisableAllActiveX”或“Disable All ActiveX”设置为“o”。
ActiveX 一直受到漏洞和网络攻击的困扰多年来,ActiveX 一直被用于从数据盗窃到恶意软件部署的攻击。例如,在 2018 年,安全研究人员发现朝鲜 Andariel Group 正在使用多个 ActiveX 漏洞来感染韩国网站,并且已经这样做了多年。 TrickBot 是一种臭名昭著的恶意软件菌株,也与基于 ActiveX 的攻击有关。2020 年,发现黑客使用远程桌面 ActiveX 控件自动执行嵌入在 Word 文档中的恶意软件下载程序。该文档通过网络钓鱼电子邮件发送给受害者。 同样,在 2021 年,黑客被发现在 Office 365 文档中使用 ActiveX 来安装 Cobalt Strike 信标并建立持久控制。 Microsoft 通过禁用 Office 功能来减少其攻击面近年来,Microsoft 一直在与其一些遗留的 Office 功能作斗争,这些功能为不良行为者提供了大量的切入点。首先,该公司在 2018 年将其反恶意软件扫描界面的支持扩展到 Office 365 应用程序,以阻止基于宏的威胁。 2021 年,Microsoft 再次扩展了 AMSI 防御措施,包括 Excel 4.0 (XLM) 扫描、检测恶意宏并阻止它们运行。次年,它还在 Excel 中默认禁用 XLM,并阻止从 Web 下载的文件中的 VBA 宏。2023 年,默认情况下会阻止来自不受信任位置的 XLL 加载项,因为不良行为者将它们用作网络钓鱼攻击的一部分。
|