Microsoft hat ein bedeutendes Sicherheitsupdate für Microsoft 365 und Office 2024 angekündigt, das die Deaktivierung von ActiveX-Steuerelementen in Windows-Versionen der Office-Anwendungen vorsieht. Diese Maßnahme ist Teil einer umfassenden Strategie zur Stärkung der Unternehmenssicherheit gegen moderne Cyber-Bedrohungen.
ActiveX: Ein veraltetes Sicherheitsrisiko
Der 1996 entwickelte ActiveX-Framework, der interaktive Elemente in Office-Dokumenten ermöglicht, hat sich zu einem erheblichen Sicherheitsrisiko entwickelt. Cyberkriminelle nutzen ActiveX-Schwachstellen gezielt für die Distribution von Malware wie TrickBot und Cobalt Strike, was die IT-Sicherheit von Unternehmen massiv gefährdet. Die Deaktivierung dieser Legacy-Technologie ist daher ein wichtiger Schritt zur Risikominimierung.
Technische Implementierung und Auswirkungen
Die Sicherheitsmaßnahme betrifft alle wichtigen Office-Anwendungen wie Word, Excel, PowerPoint und Visio. Bestehende ActiveX-Komponenten werden in statische Bilder umgewandelt, wodurch jegliche interaktive Funktionalität unterbunden wird. Nutzer erhalten bei betroffenen Dokumenten eine Benachrichtigung über die Blockierung mit der Option, weitere Informationen einzuholen.
Empfohlene Sicherheitskonfigurationen
Obwohl technisch die Möglichkeit besteht, ActiveX über das Trust Center wieder zu aktivieren, raten Sicherheitsexperten dringend davon ab. Die Deaktivierung sollte als permanente Schutzmaßnahme beibehalten werden. Organisationen sollten ihre Dokumentenbestände auf ActiveX-Abhängigkeiten prüfen und entsprechende Anpassungen vornehmen.
Microsofts strategische Sicherheitsinitiative
Die ActiveX-Deaktivierung ist Teil einer größeren Sicherheitsoffensive von Microsoft. Seit 2018 wurden bereits verschiedene potenziell gefährliche Funktionen eingeschränkt, darunter VBA-Makros, XLM und XLL-Add-ins. Die für Mai 2024 geplante vollständige Abschaltung von VBScript unterstreicht den konsequenten Ansatz des Unternehmens im Kampf gegen Cyber-Bedrohungen.
Für Unternehmen ist es essentiell, sich proaktiv auf diese Änderungen vorzubereiten. Ein systematischer Audit der ActiveX-Nutzung, die Schulung von Mitarbeitern und die Implementierung alternativer Lösungen sind wichtige Schritte zur Gewährleistung eines reibungslosen Übergangs. Diese Modernisierung der Sicherheitsarchitektur ist unerlässlich, um den sich stetig weiterentwickelnden Cyber-Bedrohungen effektiv begegnen zu können.
