Microsoft 365 disabiliterà ActiveX a causa dellabuso eccessivo da parte degli hacker

Da anni Microsoft Office supporta ActiveX come opzione per l'estendibilità e l'automazione dei documenti, ma si tratta anche di una grave vulnerabilità per la sicurezza. Ora Microsoft sta finalmente iniziando a disabilitare ActiveX nelle app di Microsoft 365, seguendo un'iniziativa simile intrapresa lo scorso anno con la suite Office 2024.

Importanti modifiche alla sicurezza

A partire da questo mese, le versioni Windows di Microsoft Word, Excel, PowerPoint e Visio in Microsoft 365 disattiveranno per impostazione predefinita tutto il contenuto ActiveX senza visualizzare alcuna notifica. Le versioni per Mac e Web di Office non hanno mai supportato ActiveX.

" La precedente impostazione predefinita consentiva agli utenti di abilitare controlli ActiveX potenzialmente pericolosi, che potevano essere sfruttati dagli hacker tramite ingegneria sociale o file dannosi. La nuova impostazione predefinita è più sicura perché blocca completamente questi controlli, riducendo il rischio di malware o esecuzione di codice non autorizzato " , ha affermato Microsoft in un post sul blog.

Questa modifica è stata implementata in Microsoft Office 2024, ma ora verrà applicata anche alle app Microsoft 365 basate su abbonamento. La funzionalità è attualmente disponibile sul canale Beta per la versione 2504 (build 18730.20030) e successive e sarà presto distribuita a tutti gli utenti Windows.

ActiveX non è stato rimosso completamente

È importante notare che ActiveX non è stato completamente rimosso dalle applicazioni di Office. Questa funzionalità potrebbe essere ancora abilitata in alcune organizzazioni e i singoli account possono riabilitarla andando su:
File > Opzioni > Centro protezione > Impostazioni Centro protezione > Impostazioni ActiveX > Richiedi conferma prima di abilitare tutti i controlli con restrizioni minime .

Microsoft ha rilasciato la prima versione di ActiveX nel 1996, consentendo alle pagine web in Internet Explorer e nei documenti di Office di incorporare codice complesso e contenuti interattivi. Ad esempio, ActiveX può creare pulsanti e checklist nei documenti di Office che, se cliccati, consentono di modificare il documento o di eseguire azioni esterne.

Sebbene ActiveX abbia alcuni utilizzi legittimi, è più noto per gli attacchi di phishing e malware. Sono state individuate numerose vulnerabilità ActiveX che consentono a un documento Word o PowerPoint apparentemente sicuro di modificare le impostazioni e i file di Windows. Rappresenta inoltre una frequente minaccia per la sicurezza e la privacy in Internet Explorer e non è mai arrivato su Microsoft Edge.

In precedenza Microsoft aveva aggiornato le applicazioni di Office in modo che non eseguissero automaticamente i contenuti ActiveX, ma alcuni file dannosi possono ancora indurre gli utenti a fare clic sul pulsante "Abilita contenuto". La rimozione di questa opzione per impostazione predefinita da parte di Microsoft dovrebbe contribuire a ridurre gli attacchi, consentendo comunque l'esecuzione di ActiveX se assolutamente necessario.

La modifica di cui sopra sembra essere il passaggio finale prima che ActiveX venga rimosso completamente da Office, ma non è chiaro quando (o se) ciò accadrà. Alcuni documenti funzionano correttamente solo con ActiveX e la nuova piattaforma di componenti aggiuntivi di Microsoft non è una sostituzione completa.

La disattivazione di ActiveX rappresenta un ulteriore passo avanti da parte di Microsoft per ridurre i rischi per la sicurezza, soprattutto perché gli attacchi di phishing e malware diventano sempre più sofisticati.