Trong nhiều năm qua, Microsoft Office đã hỗ trợ ActiveX như một tùy chọn để mở rộng và tự động hóa tài liệu. Tuy nhiên, cùng với tiện ích đó, ActiveX cũng đã trở thành một lỗ hổng bảo mật đáng kể, liên tục bị các kẻ tấn công khai thác. Giờ đây, Microsoft đang thực hiện một bước đi quan trọng nhằm tăng cường an toàn cho người dùng khi bắt đầu vô hiệu hóa mặc định ActiveX trong các ứng dụng Microsoft 365, nối tiếp động thái tương tự đã được áp dụng cho gói Office 2024 vào năm ngoái.
Lý Do Microsoft Vô Hiệu Hóa ActiveX Theo Mặc Định
Bắt đầu từ tháng này, các phiên bản Microsoft Word, Excel, PowerPoint và Visio của Microsoft 365 trên Windows sẽ vô hiệu hóa tất cả nội dung ActiveX theo mặc định mà không hiển thị thông báo. Điều này là một thay đổi đáng kể so với cài đặt trước đây là “Nhắc nhở tôi trước khi bật tất cả các điều khiển với các hạn chế tối thiểu”, vốn cho phép người dùng kích hoạt các điều khiển ActiveX tiềm ẩn nguy hiểm. Các phiên bản ứng dụng Office trên Mac và web chưa bao giờ hỗ trợ nội dung ActiveX.
Thay đổi này được Microsoft giải thích là nhằm mục đích tăng cường bảo mật đáng kể. Thiết lập mặc định mới sẽ chặn hoàn toàn các điều khiển ActiveX, từ đó giảm thiểu đáng kể rủi ro về mã độc hoặc việc thực thi mã trái phép có thể xảy ra thông qua kỹ thuật lừa đảo xã hội (social engineering) hoặc các tệp tin độc hại. Việc vô hiệu hóa mặc định giúp bảo vệ người dùng khỏi việc vô tình kích hoạt các mã nguy hiểm, ngay cả khi họ không nhận thức được mối đe dọa.
ActiveX Là Gì Và Tại Sao Nó Nguy Hiểm?
ActiveX là một framework được Microsoft phát hành lần đầu vào năm 1996, cho phép các trang web trong Internet Explorer và các tài liệu trong Microsoft Office nhúng mã phức tạp và nội dung tương tác. Ví dụ, các điều khiển ActiveX có thể được sử dụng để tạo các nút bấm hoặc danh sách kiểm tra trong tài liệu Office, cho phép sửa đổi tài liệu hoặc thực hiện các hành động bên ngoài khi nhấp vào.
Mặc dù ActiveX có một số công dụng hợp pháp, nhưng nó lại nổi tiếng hơn nhiều trong việc tạo ra các cuộc tấn công lừa đảo (phishing) và phát tán phần mềm độc hại (malware). Đã có nhiều lỗ hổng bảo mật nghiêm trọng trong ActiveX cho phép một tài liệu Word hoặc PowerPoint tưởng chừng an toàn có thể sửa đổi cài đặt và tệp tin của Windows. Nó cũng là một rủi ro bảo mật và quyền riêng tư thường xuyên trong trình duyệt Internet Explorer và chưa bao giờ được chuyển sang trình duyệt kế nhiệm là Microsoft Edge.
Người dùng làm việc với Microsoft Word trên laptop, minh họa các ứng dụng Microsoft 365 được tăng cường bảo mật.
Tác Động Và Bối Cảnh Rộng Hơn
Thay đổi này đã được triển khai trong Microsoft Office 2024 và giờ đây đang dần được áp dụng cho các ứng dụng Microsoft 365 dựa trên gói đăng ký. Hiện tại, nó đã có sẵn trên Kênh Beta cho Phiên bản 2504 (Build 18730.20030) trở lên của các ứng dụng và dự kiến sẽ sớm được triển khai rộng rãi cho tất cả người dùng Windows.
Điều quan trọng cần lưu ý là ActiveX không bị loại bỏ hoàn toàn khỏi các ứng dụng Office. Một số tổ chức có thể vẫn cần kích hoạt tính năng này vì lý do tương thích với các tài liệu cũ. Người dùng cá nhân cũng có thể bật lại tùy chọn này bằng cách điều hướng đến Tệp > Tùy chọn > Trung tâm tin cậy > Cài đặt Trung tâm tin cậy > Cài đặt ActiveX > Nhắc nhở tôi trước khi bật tất cả các điều khiển với các hạn chế tối thiểu. Tuy nhiên, đây là một hành động không được khuyến khích vì lý do bảo mật.
Việc vô hiệu hóa mặc định ActiveX này là một bước tiến logic sau khi Microsoft đã bắt đầu tự động chặn các macro Visual Basic for Applications (VBA) trong tài liệu Office vào năm 2022. Macro VBA cũng là một công cụ phổ biến được sử dụng để phát tán phần mềm độc hại. Thay đổi đó đã được triển khai trên tất cả các phiên bản ứng dụng Office được hỗ trợ vào thời điểm đó, bao gồm Office LTSC, Office 2021, Office 2019, Office 2016 và Office 2013. Mặc dù nền tảng Add-ins mới của Microsoft không phải là sự thay thế hoàn toàn cho ActiveX, động thái này cho thấy cam kết của Microsoft trong việc cung cấp một môi trường làm việc an toàn hơn cho người dùng.
Với việc vô hiệu hóa ActiveX theo mặc định, Microsoft đang làm cho các ứng dụng Office an toàn nhất có thể, giảm thiểu các vectơ tấn công phổ biến mà tội phạm mạng thường lợi dụng.
Nguồn: Microsoft 365 Insider Blog
