Microsoft chính thức vô hiệu hóa macro XLM trong Excel theo mặc định

Trở lại thời điểm tháng 10/2021, đã có không ít báo cáo cho biết Microsoft đang chuẩn bị tiến hành tắt macro Excel 4.0 XLM theo mặc định trên tất cả các đối tượng thuê bao Microsoft 365, nhằm bảo vệ người dùng khỏi các tài liệu chứa mã độc.

Hôm nay, kế hoạch này đã chính thức được triển khai. Bất chấp thực tế là nhiều tổ chức, doanh nghiệp hiện vẫn sử dụng macro Excel 4.0 (XLM) trong các quy trình tự động hóa của mình, nhưng Microsoft đã tỏ ra thực sự quyết tâm trong việc khuyến khích chuyển đổi sang Visual Basic for Applications (VBA) an toàn hơn trong suốt thời gian qua.

Nguyên nhân chính là bởi các tác nhân xấu ngày càng có xu hướng lạm dụng macro để đưa phần mềm độc hại vào hệ thống nội bộ của doanh nghiệp. Vì vậy, việc tiếp tục sử dụng sẽ không khác gì tự tạo điều kiện cho một bề mặt tấn công tương đối dễ tiếp cận với hacker. Microsoft đã cố gắng giải quyết vấn đề này ở một mức độ nào đó bằng cách giới thiệu tính năng runtime inspection của mã macro XLM vào tháng 3 năm 2021.

Nhưng chỉ như vậy là chưa đủ. Hạn chế macro Excel 4.0 là biện pháp triệt để hơn cả. Kể từ bây giờ, tùy chọn Excel Trust Center để sử dụng macro sẽ cho biết rằng ngôn ngữ này hiện đã bị vô hiệu hóa. Điều này có nghĩa là, các quản trị viên CNTT rõ ràng vẫn có khả năng sửa đổi hành vi mặc định bằng cách sử dụng Group Policy, Cloud Policy và ADMX Policy, tất cả đều được mô tả trong bài đăng trên blog của Microsoft tại ĐÂY.

Cấu hình mặc định mới hiện đang được Microsoft triển khai cho những đối tượng khách hàng sau:

• Current Channel builds 2110 trở lên (phát hành lần đầu vào tháng 10/2021)
• Monthly Enterprise Channel builds 2110 trở lên (phát hành lần đầu vào tháng 12/2021)
• Semi-Annual Enterprise Channel (Preview) builds 2201 trở lên (sẽ khả dụng vào tháng 3 năm 2022)
• Semi-Annual Enterprise Channel builds 2210 (sẽ khả dụng vào tháng 7 năm 2022)

Tóm lại, chính sách mới sẽ áp dụng cho phiên bản fork September 16.0.14527.20000 trở lên. Quản trị viên CNTT cũng có thể chọn tắt hoàn toàn việc sử dụng các macro XLM hiện có và mới trong tổ chức để tăng cường bảo mật.

Macro Excel 4.0, hay còn gọi là macro XLM, được thêm vào Excel vào năm 1992. Nó cho phép người dùng nhập các lệnh khác nhau vào ô để thực hiện một tác vụ nào đó.

Mặc dù macro VBA đã được trình làng trên Excel 5.0 nhưng kẻ xấu vẫn tiếp tục sử dụng macro XLM trong nhiều năm qua để lừa người dùng tải xuống phần mềm độc hại hoặc thực hiện các hành vi không mong muốn khác. Các chiến dịch tấn công mạng sử dụng macro Excel 4.0 XLM đã được thống kê gồm TrickBot, Qbot, Dridex, Zloader...

Do macro Excel 4.0 XLM bị lạm dụng liên tục nên trong nhiều năm qua Microsoft luôn khuyến cáo người dùng vô hiệu hóa tính năng này và chuyển sang dùng macro VBA. Lý do là vì macro VBA có Giao diện Quét chống Phần mềm độc hại (AMSI) có thể được dùng bởi phần mềm phảo mật để quét các macro chứa mã độc.