Microsoft Office từ lâu đã hỗ trợ ActiveX như một tùy chọn để mở rộng và tự động hóa tài liệu, nhưng đây cũng là một lỗ hổng bảo mật nghiêm trọng. Sau khi thực hiện động thái tương tự với gói Office 2024 vào năm ngoái, Microsoft hiện đang tiến hành vô hiệu hóa vĩnh viễn ActiveX trong các ứng dụng Microsoft 365, đánh dấu một bước tiến quan trọng trong việc tăng cường an ninh mạng cho người dùng.
Microsoft 365 Tăng Cường Bảo Mật Với Quyết Định Mới
Bắt đầu từ tháng này, các phiên bản Microsoft Word, Excel, PowerPoint và Visio dành cho Windows trong bộ Microsoft 365 sẽ tắt tất cả nội dung ActiveX theo mặc định mà không hiển thị thông báo. Điều này khác biệt hoàn toàn so với cài đặt trước đây, vốn chỉ đưa ra cảnh báo trước khi cho phép người dùng kích hoạt các điều khiển ActiveX. Các phiên bản Office dành cho Mac và nền tảng web chưa bao giờ hỗ trợ nội dung ActiveX.
Microsoft đã giải thích trong một bài đăng trên blog rằng, cài đặt mặc định trước đây cho phép người dùng kích hoạt các điều khiển ActiveX tiềm ẩn nguy hiểm, có thể bị kẻ tấn công khai thác thông qua kỹ thuật xã hội hoặc các tệp độc hại. Cài đặt mặc định mới an toàn hơn vì nó chặn hoàn toàn các điều khiển này, giảm thiểu đáng kể nguy cơ lây nhiễm phần mềm độc hại hoặc thực thi mã trái phép. Thay đổi quan trọng này đã được triển khai trong Microsoft Office 2024 và giờ đây đang được áp dụng cho các ứng dụng Microsoft 365 theo hình thức đăng ký. Hiện tính năng này đã có sẵn trên Kênh Beta cho Phiên bản 2504 (Bản dựng 18730.20030) trở lên và dự kiến sẽ sớm được triển khai rộng rãi cho tất cả người dùng Windows.
ActiveX: Lịch Sử Và Những Lỗ Hổng Bảo Mật Nguy Hiểm
Microsoft ra mắt phiên bản ActiveX đầu tiên vào năm 1996, cho phép các trang web trong Internet Explorer và tài liệu trong Microsoft Office nhúng mã phức tạp và nội dung tương tác. Ví dụ, các điều khiển ActiveX có thể được sử dụng để tạo nút bấm và danh sách kiểm tra trong tài liệu Office, có khả năng sửa đổi tài liệu hoặc thực hiện các hành động bên ngoài khi được nhấp.
Mặc dù ActiveX có một số công dụng hợp pháp, nhưng nó lại bị lạm dụng phổ biến hơn nhiều cho các cuộc tấn công lừa đảo (phishing) và phần mềm độc hại (malware). Đã có vô số vụ khai thác bảo mật trong ActiveX cho phép một tài liệu Word hoặc PowerPoint tưởng chừng an toàn có thể sửa đổi cài đặt và tệp hệ thống của Windows. Đây cũng là một rủi ro bảo mật và quyền riêng tư thường xuyên trong Internet Explorer và chưa bao giờ được chuyển sang trình duyệt kế nhiệm là Microsoft Edge.
Người dùng đang làm việc trên laptop với biểu tượng Microsoft Word trên màn hình, tượng trưng cho việc sử dụng ứng dụng văn phòng của Microsoft.
Microsoft sau đó đã cập nhật các ứng dụng Office để không tự động chạy nội dung ActiveX, nhưng một số tệp độc hại vẫn có thể lừa người dùng nhấp vào nút “Enable Content” (Bật Nội dung). Việc Microsoft xóa bỏ tùy chọn này theo mặc định sẽ giúp giảm các cuộc tấn công đó, đồng thời vẫn cho phép nội dung ActiveX chạy nếu thực sự cần thiết.
Vẫn Có Thể Bật Lại Nhưng Không Khuyến Khích
Điều quan trọng là ActiveX không bị loại bỏ hoàn toàn khỏi các ứng dụng Office. Một số tổ chức vẫn có thể kích hoạt tính năng này, và tài khoản cá nhân có thể bật lại bằng cách điều hướng đến File > Options > Trust Center > Trust Center Settings > ActiveX Settings > Prompt me before enabling all controls with minimal restrictions. Tuy nhiên, việc này không được khuyến khích vì rủi ro bảo mật vẫn tồn tại.
Thay đổi này có vẻ là bước cuối cùng trước khi Microsoft loại bỏ hoàn toàn ActiveX khỏi các ứng dụng Office, nhưng chưa rõ khi nào (hoặc liệu) điều đó sẽ xảy ra. Một số tài liệu chỉ hoạt động đúng cách với ActiveX và nền tảng Add-ins mới của Microsoft không phải là sự thay thế hoàn chỉnh. Đây là mức độ bảo mật cao nhất mà ActiveX có thể đạt được.
Liên Hệ Với Các Biện Pháp Bảo Mật Khác Của Microsoft
Động thái này cũng tương tự như việc Microsoft bắt đầu tự động chặn macro Visual Basic for Applications (VBA) trong tài liệu Office vào năm 2022, vốn cũng thường xuyên được sử dụng để phân phối phần mềm độc hại. Thay đổi đó đã được triển khai trên tất cả các phiên bản ứng dụng Office được hỗ trợ vào thời điểm đó, bao gồm Office LTSC, Office 2021, Office 2019, Office 2016 và Office 2013, thể hiện cam kết mạnh mẽ của Microsoft trong việc bảo vệ người dùng khỏi các mối đe dọa bảo mật.
Kết Luận
Việc Microsoft vô hiệu hóa mặc định ActiveX trong Microsoft 365 là một quyết định chiến lược và cần thiết để tăng cường bảo mật cho hàng tỷ người dùng trên toàn thế giới. Thay đổi này sẽ giảm thiểu đáng kể nguy cơ lây nhiễm mã độc và các cuộc tấn công lừa đảo, giúp người dùng yên tâm hơn khi làm việc với tài liệu Office. Để đảm bảo an toàn tối đa, hãy luôn cập nhật ứng dụng Microsoft 365 của bạn và hạn chế kích hoạt ActiveX trừ khi thực sự hiểu rõ nguồn gốc và mục đích của tài liệu.
Nguồn tham khảo:
- Microsoft 365 Insider Blog: ActiveX disabled by default in Microsoft 365
