Microsoft Office

10月のOffice 2024発売後、マイクロソフトはWord、Excel、PowerPoint、VisioクライアントアプリでActiveXコントロールをデフォルトで無効にする。

ActiveXは1996年に導入されたレガシー・ソフトウェア・フレームワークで、開発者はOffice文書に埋め込むことができるインタラクティブ・オブジェクトを作成することができる。レドモンドは、2024年10月にWin32のOfficeデスクトップアプリで開かれるドキュメントでActiveXコントロールをオフにすることから始め、この変更は2025年4月にMicrosoft 365アプリにも展開される。

「新しいOffice 2024から、ActiveXオブジェクトのデフォルトの構成設定が、最小限の制限ですべてのコントロールを有効にする前にプロンプトを表示する(Prompt me before enable all controls with minimal restrictions)から、通知なしですべてのコントロールを無効にする(Disable all controlswithout notification)に変更されます

「この変更が実施されると、ユーザーはOfficeドキュメントでActiveXオブジェクトを作成したり、操作したりすることができなくなります。

既存のActiveXオブジェクトの一部は、Office文書内で静的な画像として表示され続けるが、ユーザーはそれらを操作できなくなる。

ただし、非商用版のOfficeでは、新しいデフォルト設定でActiveXオブジェクトがブロックされると、「新しいデフォルト設定は、既存のDisableAllActiveXグループポリシー設定と同等です」という通知が表示されます。

この変更が実施されると、Office文書でActiveXコントロールを有効にする必要があるユーザーは、以下のいずれかの方法で以前のデフォルト設定に戻すことができます:

  • Trust Center SettingsダイアログのActiveX Settingsで「Prompt me before enabled all controls with minimal restrictions」オプションを選択する。
  • レジストリで、HKKEY_CURRENT_USER⇄Software⇄Microsoft⇄Office⇄Common⇄Security⇄DisableAllActiveXを0(REG_DWORD)に設定する。
  • すべてのActiveXを無効にする」グループポリシーの設定を0に設定する。

この変更は、北朝鮮のハッカーAndarielが情報窃取マルウェアを展開するために悪用したゼロデイ脆弱性など、ActiveXのよく知られたセキュリティ問題によって促されたと思われる。

攻撃者はまた、Word文書に埋め込まれたActiveXコントロールを使ってTrickBotマルウェアをインストールしたり、Cobalt Strikeビーコンを使って企業ネットワークに侵入したりしている、

この動きは、脅威行為者がマイクロソフトの顧客をマルウェアに感染させるために悪用してきたOfficeとWindowsの機能を削除またはオフにする、より広範な取り組みの一環である。これはマイクロソフトがOffice VBAマクロを使用する攻撃を阻止するために、Office 365クライアントアプリにAntimalware Scan Interface(AMSI)のサポートを拡大した2018年にさかのぼる

それ以来、レドモンドはまた、Excel 4.0(XLM)マクロを無効にし、デフォルトでVBA Officeマクロのブロックを開始し、XLMマクロ保護を導入し、世界中のMicrosoft 365テナント全体でデフォルトで信頼できないXLLアドインのブロックを開始した。

また5月には、VBScriptを完全に削除するまでオンデマンド機能にすることで、2024年後半にVBScriptを廃止すると発表した。