Foto: Thaspol Sangsee - shutterstock.com
"Ab dem neuen Office 2024 ändert sich die Standardkonfigurationseinstellung für ActiveX-Objekte von 'Vor der Aktivierung aller Steuerelemente mit minimalen Einschränkungen eine Eingabeaufforderung anzeigen' zu 'Alle Steuerelemente ohne Benachrichtigung deaktivieren"'". schreibt die Company in einem neuen Eintrag im Microsoft 365-Admin Center. "Benutzer können nach der Implementierung dieser Änderung keine ActiveX-Objekte mehr in Office-Dokumenten erstellen oder mit ihnen interagieren", heißt es dort weiter.
Microsofts sicherheitsrelevante Altlasten
Admins können die neue Standardeinstellung für Office-Dokumente jedoch deaktivieren, indem sie im Trust Center oder der Registry entsprechende Vorgaben aus- (Trust Center), beziehungsweise abwählen (Registry) oder die Funktion in der Group Policy auf null setzen.
Der Grund für die Änderung sind wahrscheinlich die bekannten Sicherheitsprobleme. So kamen unter anderem ActiveX-Steuerelemente, die in Word-Dokumente eingebettet sind, zum Einsatz, um die Malware TrickBot und Cobalt Strike Beacons zu installieren und Unternehmensnetzwerke zu infiltrieren.
Der Schritt ist Teil einer umfassenderen Bemühung von Microsoft, Office- und Windows-Funktionen zu entfernen oder zu deaktivieren, die von Bedrohungsakteuren missbraucht wurden, um Kunden mit Malware zu infizieren. Vor kurzem hat der Konzern weitere Schritte unternommen, um die Sicherheit in Office zu verbessern. So wurden beispielsweise Makros und Erweiterungen blockiert. Im Mai kündigte das Unternehmen außerdem an, VBScript in der zweiten Jahreshälfte 2024 abzuschaffen. Dazu wird es zunächst zu einer On-Demand-Funktion, bis es vollständig entfernt wird.