Microsoft 365, aşırı bilgisayar korsanı suistimali nedeniyle ActiveXi devre dışı bırakacak

Microsoft Office, belge genişletilebilirliği ve otomasyonu için bir seçenek olarak yıllardır ActiveX'i destekliyor, ancak bu aynı zamanda ciddi bir güvenlik açığıdır. Microsoft, geçen yıl Office 2024 paketinde yaptığı benzer hamlelerin ardından şimdi de sonunda Microsoft 365 uygulamalarında ActiveX'i devre dışı bırakmaya başlıyor.

Önemli Güvenlik Değişiklikleri

Bu aydan itibaren, Microsoft 365'teki Microsoft Word, Excel, PowerPoint ve Visio'nun Windows sürümleri, herhangi bir bildirim görüntülemeden tüm ActiveX içeriğini varsayılan olarak devre dışı bırakacak. Office'in Mac ve web sürümleri hiçbir zaman ActiveX'i desteklemedi.

" Önceki varsayılan ayar, kullanıcıların sosyal mühendislik veya kötü amaçlı dosyalar aracılığıyla bilgisayar korsanları tarafından istismar edilebilecek potansiyel olarak tehlikeli ActiveX denetimlerini etkinleştirmesine izin veriyordu. Yeni varsayılan ayar daha güvenlidir çünkü bu denetimleri tamamen engelleyerek kötü amaçlı yazılım veya yetkisiz kod yürütme riskini azaltır, " dedi Microsoft bir blog yazısında.

Bu değişiklik Microsoft Office 2024'te kullanıma sunuldu, ancak artık abonelik tabanlı Microsoft 365 uygulamalarına da uygulanacak. Bu özellik şu anda Beta Kanalında Sürüm 2504 (Derleme 18730.20030) ve üzeri için kullanılabilir durumda olup yakında tüm Windows kullanıcılarına sunulacaktır.

ActiveX tamamen kaldırılmadı

ActiveX'in Office uygulamalarından tamamen kaldırılmadığını belirtmek önemlidir. Bazı kuruluşlarda bu özellik hâlâ etkin olabilir ve bireysel hesaplar şuraya giderek özelliği yeniden etkinleştirebilir:
Dosya > Seçenekler > Güven Merkezi > Güven Merkezi Ayarları > ActiveX Ayarları > Tüm denetimleri en az kısıtlamayla etkinleştirmeden önce bana sor .

Microsoft, 1996 yılında Internet Explorer'daki web sayfalarına ve Office belgelerine karmaşık kodlar ve etkileşimli içerikler yerleştirmeye olanak sağlayan ActiveX'in ilk sürümünü yayınladı. Örneğin, ActiveX, tıklandığında belgeyi değiştirebilen veya harici eylemler gerçekleştirebilen Office belgelerinde düğmeler ve denetim listeleri oluşturabilir.

ActiveX'in bazı meşru kullanımları olsa da, daha çok kimlik avı ve kötü amaçlı yazılım saldırılarıyla ünlüdür. Görünüşte güvenli bir Word veya PowerPoint belgesinin Windows ayarlarını ve dosyalarını değiştirmesine izin veren birden fazla ActiveX güvenlik açığı bulunmaktadır. Internet Explorer'da da sıklıkla karşılaşılan bir güvenlik ve gizlilik tehdidi olup Microsoft Edge'e hiç yansımamıştır.

Microsoft daha önce Office uygulamalarını ActiveX içeriklerini otomatik olarak çalıştırmayacak şekilde güncellemişti; ancak bazı kötü amaçlı dosyalar hâlâ kullanıcıları "İçeriği Etkinleştir" düğmesine tıklamaya kandırabiliyor. Microsoft'un bu seçeneği varsayılan olarak kaldırması, saldırıları azaltırken, kesinlikle gerekli olduğunda ActiveX'in çalışmasına izin vermeye devam edecektir.

Yukarıdaki değişiklik, ActiveX'in Office'ten tamamen kaldırılmasından önceki son adım gibi görünüyor; ancak bunun ne zaman gerçekleşeceği (veya gerçekleşip gerçekleşmeyeceği) belirsiz. Bazı belgeler yalnızca ActiveX ile düzgün çalışıyor ve Microsoft'un yeni Eklentiler platformu da tam bir alternatif değil.

ActiveX'i devre dışı bırakmak, Microsoft'un özellikle kimlik avı ve kötü amaçlı yazılım saldırılarının daha karmaşık hale gelmesiyle birlikte güvenlik risklerini azaltma çabalarının bir diğer adımıdır.