Na de lancering van Office 2024 in oktober, zal Microsoft standaard ActiveX-besturingselementen uitschakelen in de Word, Excel, PowerPoint en Visio client-apps.

ActiveX is een verouderd software-framework dat in 1996 werd geïntroduceerd en waarmee ontwikkelaars interactieve objecten kunnen maken die in Office-documenten kunnen worden ingesloten. Redmond begint in oktober 2024 met het uitschakelen van ActiveX-besturingselementen in documenten die worden geopend in Win32 Office desktop-apps. Deze wijziging zal ook worden doorgevoerd naar Microsoft 365-apps in april 2025.

“Vanaf het nieuwe Office 2024 zal de standaardconfiguratie-instelling voor ActiveX-objecten veranderen van Prompt me before enabling all controls with minimal restrictions naar Disable all controls zonder melding,” zei het bedrijf in een nieuwe Microsoft 365-berichtencentrumvermelding.

“Gebruikers kunnen geen ActiveX-objecten meer maken of ermee interactie hebben in Office-documenten wanneer deze wijziging is geïmplementeerd.”

Hoewel sommige bestaande ActiveX-objecten als statische afbeeldingen in Office-documenten blijven verschijnen, kunnen gebruikers er niet meer mee interactie hebben.

Echter, in niet-commerciële versies van Office, zullen ze meldingen ontvangen waarin staat: “De nieuwe standaardinstelling is gelijk aan de bestaande DisableAllActiveX groepsbeleidsinstelling” wanneer ActiveX-objecten worden geblokkeerd onder de nieuwe standaardconfiguratie.

Zodra de wijziging is geïmplementeerd, kunnen gebruikers die ActiveX-besturingselementen in Office-documenten moeten inschakelen terugkeren naar de vorige standaardinstellingen door een van de volgende methoden te gebruiken:

• Selecteer in het Trust Center-instellingen dialoogvenster, onder ActiveX-instellingen, de optie ‘Prompt me before enabling all controls with minimal restrictions‘.
• Stel in het register HKEY_CURRENT_USERSoftwareMicrosoftOfficeCommonSecurityDisableAllActiveX in op 0 (REG_DWORD).
• Stel de groepsbeleidsinstelling ‘Disable All ActiveX‘ in op 0.

Deze wijziging is waarschijnlijk ingegeven door de bekende beveiligingsproblemen van ActiveX, zoals zero-day kwetsbaarheden die door Andariel Noord-Koreaanse hackers werden uitgebuit om malware voor het stelen van informatie te installeren.

Aanvallers hebben ook ActiveX-besturingselementen gebruikt die in Word-documenten zijn ingebed om TrickBot-malware en Cobalt Strike-beacons te installeren om bedrijfsnetwerken binnen te dringen.

Deze stap maakt deel uit van een bredere inspanning om Office- en Windows-functies te verwijderen of uit te schakelen die door dreigingsactoren zijn misbruikt om Microsoft-klanten met malware te infecteren. Dit gaat terug tot 2018, toen Microsoft de ondersteuning voor zijn Antimalware Scan Interface (AMSI) uitbreidde naar Office 365 client-apps om aanvallen te voorkomen die Office VBA-macro’s gebruikten.

Sindsdien heeft Redmond ook Excel 4.0 (XLM) macros uitgeschakeld, is begonnen met het standaard blokkeren van VBA Office macros, XLM macrobescherming geïntroduceerd en is begonnen met het standaard blokkeren van ongewenste XLL-invoegtoepassingen van over de hele wereld.

Het kondigde in mei ook aan dat het in de tweede helft van 2024 VBScript zal beëindigen door het een on-demand functie te maken totdat het volledig is verwijderd.