خداحافظی مایکروسافت با ActiveX: پایان عصر آسیب‌پذیری‌های امنیتی در آفیس

مایکروسافت آفیس سال‌ها از ActiveX به عنوان گزینه‌ای برای گسترش و خودکارسازی اسناد پشتیبانی می‌کرد، اما این ویژگی همواره یک آسیب‌پذیری امنیتی مهم بوده است. مایکروسافت سرانجام شروع به غیرفعال کردن ActiveX در برنامه‌های Microsoft 365 کرده است که این اقدام به دنبال تصمیم مشابهی در بسته Office 2024 سال گذشته صورت می‌گیرد.

از این ماه، نسخه‌های ویندوزی Microsoft Word، Excel، PowerPoint و Visio در Microsoft 365 به طور پیش‌فرض تمام محتوای ActiveX را بدون نمایش اعلان غیرفعال خواهند کرد. نسخه‌های مک و تحت وب برنامه‌های آفیس از ابتدا هیچ‌گاه از محتوای ActiveX پشتیبانی نمی‌کردند.

مایکروسافت در یک پست وبلاگی اعلام کرد: “تنظیمات پیش‌فرض قبلی که ‘قبل از فعال‌سازی همه کنترل‌ها با محدودیت‌های حداقلی از من سؤال شود’ به شما اجازه می‌داد کنترل‌های ActiveX بالقوه خطرناک را فعال کنید که می‌توانست توسط مهاجمان از طریق مهندسی اجتماعی یا فایل‌های مخرب مورد سوءاستفاده قرار گیرد. تنظیمات پیش‌فرض جدید امن‌تر است زیرا این کنترل‌ها را کاملاً مسدود می‌کند و خطر بدافزار یا اجرای کد غیرمجاز را کاهش می‌دهد.”

به یاد آوردن کنترل‌های ActiveX، بزرگترین اشتباه وب: کنترل‌های ActiveX اینترنت اکسپلورر که در سال 1996 معرفی شدند، ایده‌ای نامناسب برای وب بودند. آنها مشکلات امنیتی جدی ایجاد کردند و به تثبیت سلطه اینترنت اکسپلورر در ویندوز کمک کردند که منجر به رکود وب قبل از فایرفاکس شد.

این تغییر قبلاً در Microsoft Office 2024 اعمال شده بود و اکنون به برنامه‌های اشتراکی Microsoft 365 نیز می‌آید. این ویژگی هم‌اکنون در کانال بتا برای نسخه 2504 (ساخت 18730.20030) یا بالاتر برنامه‌ها در دسترس است و به زودی این تغییر برای همه کاربران ویندوز اعمال خواهد شد.

نکته مهم این است که ActiveX به طور کامل از برنامه‌های آفیس حذف نمی‌شود. برخی سازمان‌ها ممکن است همچنان این ویژگی را فعال کنند و حساب‌های شخصی می‌توانند با مراجعه به File > Options > Trust Center > Trust Center Settings > ActiveX Settings > Prompt me before enabling all controls with minimal restrictions آن را تغییر دهند.

خداحافظ، ActiveX: مایکروسافت اولین نسخه ActiveX را در سال 1996 منتشر کرد که به وب‌سایت‌ها در اینترنت اکسپلورر و اسناد در مایکروسافت آفیس اجازه می‌داد کدهای پیچیده و محتوای تعاملی را جاسازی کنند. به عنوان مثال، از کنترل‌های ActiveX می‌توان برای ایجاد دکمه‌ها و چک‌لیست‌ها در اسناد آفیس استفاده کرد که می‌توانستند با کلیک کردن، سند را تغییر دهند یا اقدامات خارجی انجام دهند.

ActiveX برخی کاربردهای مشروع داشت، اما برای فیشینگ و بدافزار بسیار محبوب‌تر بود. آسیب‌پذیری‌های امنیتی زیادی در ActiveX وجود داشت که به یک سند به ظاهر امن Word یا PowerPoint اجازه می‌داد تنظیمات و فایل‌های ویندوز را تغییر دهد. همچنین یک خطر مکرر امنیتی و حریم خصوصی در اینترنت اکسپلورر بود و هرگز به جایگزین آن، مایکروسافت Edge، منتقل نشد.

مایکروسافت در نهایت برنامه‌های آفیس را به‌روزرسانی کرد تا محتوای ActiveX را به طور خودکار اجرا نکنند، اما برخی فایل‌های مخرب می‌توانند با موفقیت افراد را فریب دهند تا روی دکمه ‘Enable Content’ کلیک کنند. حذف این گزینه به صورت پیش‌فرض توسط مایکروسافت به کاهش این حملات کمک خواهد کرد، در حالی که همچنان در صورت نیاز مبرم، اجازه اجرای محتوای ActiveX را می‌دهد.

این تغییر به نظر آخرین قدم قبل از حذف کامل ActiveX از برنامه‌های آفیس است، اما مشخص نیست چه زمانی (یا آیا اصلاً) این اتفاق خواهد افتاد. برخی اسناد فقط با ActiveX به درستی کار می‌کنند و پلتفرم جدیدتر Add-ins مایکروسافت جایگزین کاملی نیست. این تا حد ممکن امن‌ترین حالت برای ActiveX است.

مایکروسافت در سال 2022 شروع به مسدود کردن خودکار ماکروهای Visual Basic for Applications (VBA) در اسناد آفیس کرد که آنها نیز اغلب برای توزیع بدافزار استفاده می‌شدند. این تغییر در تمام نسخه‌های پشتیبانی شده برنامه‌های آفیس در آن زمان، از جمله Office LTSC، Office 2021، Office 2019، Office 2016 و Office 2013 اعمال شد.