Microsoft оголосила про важливе оновлення системи безпеки для користувачів Microsoft 365 та Office 2024, яке передбачає поступове відключення елементів управління ActiveX у Windows-версіях офісних додатків. Це рішення є критичним кроком у напрямку посилення захисту корпоративних систем від сучасних кіберзагроз.
Технологія ActiveX: від інновації до вразливості
ActiveX, запроваджений у 1996 році як революційний фреймворк для створення інтерактивного контенту в документах Office, з часом перетворився на серйозну загрозу безпеці. Аналіз інцидентів кібербезпеки показує, що зловмисники регулярно експлуатують вразливості ActiveX для розповсюдження шкідливого програмного забезпечення, зокрема TrickBot та Cobalt Strike, що призводить до компрометації корпоративних мереж.
Механізм впровадження змін та їх вплив
Оновлення передбачає повне блокування функціональності ActiveX у ключових додатках пакету Office: Word, Excel, PowerPoint та Visio. При спробі відкрити документи з вбудованими ActiveX-компонентами система відображатиме попередження про блокування потенційно небезпечного контенту. Існуючі ActiveX-об’єкти зберігатимуться у вигляді статичних зображень, що унеможливить їх активацію та потенційне використання для проведення кібератак.
Рекомендації щодо налаштування безпеки
Хоча технічна можливість активації ActiveX через Trust Center зберігається, фахівці з кібербезпеки наполегливо рекомендують утримуватися від використання цієї опції. Організаціям варто провести аудит документів на наявність ActiveX-компонентів та розробити план міграції на сучасні, безпечніші технології.
Комплексний підхід до захисту користувачів
Відмова від ActiveX є частиною масштабної стратегії Microsoft з модернізації системи безпеки. З 2018 року компанія послідовно обмежує використання потенційно небезпечних технологій, включаючи макроси VBA, XLM та надбудови XLL. Анонсоване на травень 2024 року припинення підтримки VBScript підтверджує системний підхід Microsoft до мінімізації векторів кібератак.
Впровадження цих змін демонструє пріоритетність безпеки користувачів над зворотною сумісністю та зручністю використання застарілих технологій. Організаціям рекомендується активно готуватися до переходу на сучасні, захищені методи роботи з документами та проводити регулярне навчання персоналу з питань кібербезпеки.
