Microsoft 365 จะปิดการใช้งาน ActiveX เนื่องจากถูกแฮ็กเกอร์โจมตีมากเกินไป

Microsoft Office ได้สนับสนุน ActiveX มาเป็นเวลาหลายปีแล้วในฐานะตัวเลือกสำหรับการขยายและการทำงานอัตโนมัติของเอกสาร แต่ก็ยังคงเป็นช่องโหว่ด้านความปลอดภัยที่ร้ายแรงด้วยเช่นกัน ในตอนนี้ Microsoft กำลังจะเริ่มปิดการใช้งาน ActiveX ในแอป Microsoft 365 ในที่สุด โดยดำเนินการต่อจากขั้นตอนที่คล้ายกันกับชุด Office 2024 เมื่อปีที่แล้ว

การเปลี่ยนแปลงด้านความปลอดภัยที่สำคัญ

เริ่มตั้งแต่เดือนนี้เป็นต้นไป เวอร์ชัน Windows ของ Microsoft Word, Excel, PowerPoint และ Visio ใน Microsoft 365 จะปิดใช้งานเนื้อหา ActiveX ทั้งหมดตามค่าเริ่มต้นโดยไม่แสดงการแจ้งเตือน Office เวอร์ชัน Mac และเว็บไม่เคยรองรับ ActiveX

Microsoft กล่าวในบล็อกโพสต์ว่า " การตั้งค่าเริ่มต้นก่อนหน้านี้ช่วยให้ผู้ใช้สามารถเปิดใช้งานตัวควบคุม ActiveX ที่อาจเป็นอันตรายได้ ซึ่งแฮกเกอร์อาจใช้กลวิธีทางสังคมหรือไฟล์ที่เป็นอันตรายได้ การตั้งค่าเริ่มต้นใหม่มีความปลอดภัยมากขึ้นเนื่องจากบล็อกตัวควบคุมเหล่านี้ได้อย่างสมบูรณ์ ซึ่งช่วยลดความเสี่ยงจากมัลแว ร์ หรือการเรียกใช้โค้ดที่ไม่ได้รับอนุญาต "

การเปลี่ยนแปลงนี้ได้เปิดตัวใน Microsoft Office 2024 แล้ว แต่ตอนนี้มันจะใช้กับแอป Microsoft 365 แบบสมัครสมาชิกด้วยเช่นกัน ฟีเจอร์ดังกล่าวใช้งานได้บนช่องเบต้าสำหรับเวอร์ชัน 2504 (Build 18730.20030) ขึ้นไป และจะเปิดตัวให้ผู้ใช้ Windows ทุกคนเร็วๆ นี้

ActiveX ไม่ถูกลบออกอย่างสมบูรณ์

สิ่งสำคัญคือต้องทราบว่า ActiveX จะไม่ถูกลบออกจากแอปพลิเคชัน Office อย่างสมบูรณ์ องค์กรบางแห่งอาจยังคงเปิดใช้งานฟีเจอร์นี้ไว้ และบัญชีแต่ละบัญชีสามารถเปิดใช้งานได้อีกครั้ง โดยไปที่
ไฟล์ > ตัวเลือก > ศูนย์ความเชื่อถือ > การตั้งค่าศูนย์ความเชื่อถือ > การตั้งค่า ActiveX > แจ้งเตือนฉันก่อนเปิดใช้งานการควบคุมทั้งหมดพร้อมข้อจำกัดขั้นต่ำ

Microsoft เปิดตัว ActiveX รุ่นแรกในปี พ.ศ. 2539 โดยอนุญาตให้หน้าเว็บใน Internet Explorer และเอกสาร Office ฝังโค้ดที่ซับซ้อนและเนื้อหาแบบโต้ตอบได้ ตัวอย่างเช่น ActiveX สามารถสร้างปุ่มและรายการตรวจสอบในเอกสาร Office ที่สามารถปรับเปลี่ยนเอกสารหรือดำเนินการภายนอกเมื่อคลิกได้

แม้ว่า ActiveX จะมีการใช้งานที่ถูกต้องบางประการ แต่ก็เป็นที่รู้กันดีว่าใช้สำหรับการโจมตีแบบฟิชชิ่งและมัลแวร์ มีช่องโหว่ ActiveX หลายรายการที่ทำให้เอกสาร Word หรือ PowerPoint ที่ดูเหมือนปลอดภัยสามารถเปลี่ยนการตั้งค่าและไฟล์ของ Windows ได้ นอกจากนี้ยังเป็นภัยคุกคามต่อความปลอดภัยและความเป็นส่วนตัวที่เกิดขึ้นบ่อยครั้งใน Internet Explorer และไม่เคยเกิดขึ้นใน Microsoft Edge

ก่อนหน้านี้ Microsoft ได้อัปเดตแอปพลิเคชัน Office เพื่อไม่ให้รันเนื้อหา ActiveX โดยอัตโนมัติ แต่ไฟล์ที่เป็นอันตรายบางไฟล์ยังสามารถหลอกผู้ใช้ให้คลิกปุ่ม "เปิดใช้งานเนื้อหา" ได้ การที่ Microsoft ลบตัวเลือกนี้ออกไปตามค่าเริ่มต้นน่าจะช่วยลดการโจมตีได้ ในขณะเดียวกันก็ยังอนุญาตให้ ActiveX ทำงานได้หากจำเป็นจริงๆ

การเปลี่ยนแปลงข้างต้นดูเหมือนจะเป็นขั้นตอนสุดท้ายก่อนที่ ActiveX จะถูกลบออกจาก Office ทั้งหมด แต่ยังไม่ชัดเจนว่าจะเกิดขึ้นเมื่อใด (หรือจะเกิดขึ้นหรือไม่) เอกสารบางอย่างจะทำงานได้อย่างถูกต้องเฉพาะกับ ActiveX เท่านั้น และแพลตฟอร์ม Add-ins ใหม่ของ Microsoft ก็ไม่ใช่การทดแทนโดยสมบูรณ์

การปิดใช้งาน ActiveX ถือเป็นอีกก้าวหนึ่งของความพยายามของ Microsoft ในการลดความเสี่ยงด้านความปลอดภัย โดยเฉพาะอย่างยิ่งเมื่อการโจมตีแบบฟิชชิ่งและมัลแวร์มีความซับซ้อนมากขึ้น