Microsoft 365 sẽ tắt ActiveX do bị hacker lạm dụng quá nhiều

Microsoft Office đã hỗ trợ ActiveX trong nhiều năm như một tùy chọn để mở rộng và tự động hóa tài liệu, nhưng đồng thời cũng là một lỗ hổng bảo mật nghiêm trọng. Giờ đây, Microsoft cuối cùng cũng bắt đầu tắt ActiveX trong các ứng dụng Microsoft 365, sau động thái tương tự với gói Office 2024 vào năm ngoái.

Thay đổi bảo mật quan trọng

Bắt đầu từ tháng này, các phiên bản Windows của Microsoft Word, Excel, PowerPoint và Visio trong Microsoft 365 sẽ tắt toàn bộ nội dung ActiveX theo mặc định mà không hiển thị thông báo. Các phiên bản Office dành cho Mac và nền web vốn dĩ chưa từng hỗ trợ ActiveX.

Microsoft cho biết trong một bài đăng blog: "Cài đặt mặc định trước đây cho phép người dùng bật các điều khiển ActiveX tiềm ẩn nguy hiểm, vốn có thể bị tin tặc khai thác thông qua kỹ thuật xã hội hoặc tệp độc hại. Cài đặt mặc định mới an toàn hơn vì nó chặn hoàn toàn các điều khiển này, giảm nguy cơ phần mềm độc hại hoặc thực thi mã trái phép."

Thay đổi này đã được triển khai trong Microsoft Office 2024, nhưng giờ đây nó sẽ áp dụng cho cả các ứng dụng Microsoft 365 dựa trên đăng ký. Tính năng hiện có sẵn trên Kênh Beta cho Phiên bản 2504 (Bản dựng 18730.20030) trở lên và sẽ sớm được triển khai cho tất cả người dùng Windows.

ActiveX chưa bị loại bỏ hoàn toàn

Điều quan trọng cần lưu ý là ActiveX không bị xóa hoàn toàn khỏi ứng dụng Office. Một số tổ chức vẫn có thể bật tính năng này, và tài khoản cá nhân có thể kích hoạt lại bằng cách truy cập:
File > Options > Trust Center > Trust Center Settings > ActiveX Settings > Prompt me before enabling all controls with minimal restrictions.

Microsoft phát hành phiên bản đầu tiên của ActiveX vào năm 1996, cho phép các trang web trong Internet Explorer và tài liệu Office nhúng mã phức tạp và nội dung tương tác. Ví dụ: ActiveX có thể tạo nút bấm và danh sách kiểm tra trong tài liệu Office, có thể sửa đổi tài liệu hoặc thực hiện hành động bên ngoài khi được nhấp.

Dù ActiveX có một số công dụng hợp pháp, nó nổi tiếng hơn trong các cuộc tấn công lừa đảo và phần mềm độc hại. Đã có nhiều lỗ hổng bảo mật trong ActiveX cho phép một tài liệu Word hoặc PowerPoint tưởng chừng an toàn thay đổi cài đặt và tệp Windows. Nó cũng là mối đe dọa bảo mật và quyền riêng tư thường xuyên trong Internet Explorer và không bao giờ được chuyển sang Microsoft Edge.

Microsoft trước đây đã cập nhật ứng dụng Office để không tự động chạy nội dung ActiveX, nhưng một số tệp độc hại vẫn có thể lừa người dùng nhấp vào nút "Enable Content". Việc Microsoft loại bỏ tùy chọn này theo mặc định sẽ giúp giảm các cuộc tấn công, đồng thời vẫn cho phép chạy ActiveX nếu thực sự cần thiết.

Thay đổi nêu trên có vẻ là bước cuối cùng trước khi ActiveX bị loại bỏ hoàn toàn khỏi Office, nhưng chưa rõ khi nào (hoặc liệu) điều đó sẽ xảy ra. Một số tài liệu chỉ hoạt động chính xác với ActiveX, và nền tảng Tiện ích Bổ sung (Add-ins) mới của Microsoft chưa phải là giải pháp thay thế hoàn chỉnh.

Việc tắt ActiveX là một bước đi tiếp theo trong nỗ lực giảm thiểu rủi ro bảo mật của Microsoft, đặc biệt khi các cuộc tấn công lừa đảo và mã độc ngày càng tinh vi.