Après le lancement d’Office 2024 en octobre, Microsoft désactivera les contrôles ActiveX par défaut dans les applications clientes Word, Excel, PowerPoint et Visio.
ActiveX est une infrastructure logicielle héritée introduite en 1996 qui permet aux développeurs de créer des objets interactifs pouvant être intégrés dans des documents Office. Redmond commencera par désactiver les contrôles ActiveX dans les documents ouverts dans les applications de bureau Win32 Office en octobre 2024, un changement qui sera également déployé dans les applications Microsoft 365 en avril 2025.
« À partir du nouvel Office 2024, le paramètre de configuration par défaut pour les objets ActiveX passera de M’inviter avant d’activer tous les contrôles avec des restrictions minimales pour désactiver tous les contrôles sans notification », a déclaré la société dans une nouvelle entrée du centre de messagerie Microsoft 365.
« Les utilisateurs ne pourront plus créer ou interagir avec des objets ActiveX dans les documents Office lorsque ce changement sera mis en œuvre. »
Alors que certains objets ActiveX existants continueront d’apparaître sous forme d’images statiques dans les documents Office, les utilisateurs ne pourront plus interagir avec eux.
Cependant, dans les versions non commerciales d’Office, ils recevront des notifications indiquant que « Le nouveau paramètre par défaut est équivalent au paramètre de stratégie de groupe DisableAllActiveX existant » lorsque les objets ActiveX sont bloqués sous la nouvelle configuration par défaut.
Une fois la modification mise en œuvre, les utilisateurs qui doivent activer les contrôles ActiveX dans les documents Office peuvent revenir aux paramètres par défaut précédents en utilisant l’une des méthodes suivantes:
- Dans la boîte de dialogue Paramètres du Centre de gestion de la confidentialité, sous Paramètres ActiveX, sélectionnez l’option « M’inviter avant d’activer tous les contrôles avec des restrictions minimales ».
- Dans le registre, définissez HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ Common \ Security\DisableAllActiveX sur 0 (REG_DWORD).
- Définissez le paramètre de stratégie de groupe « Désactiver tous les ActiveX » sur 0.
Ce changement a probablement été motivé par les problèmes de sécurité bien connus d’ActiveX, tels que les vulnérabilités zero-day exploitées par les pirates nord-coréens Andariel pour déployer des logiciels malveillants voleurs d’informations.
Les attaquants ont également utilisé des contrôles ActiveX intégrés dans des documents Word pour installer des logiciels malveillants TrickBot et des balises Cobalt Strike pour infiltrer les réseaux d’entreprise,
Cette décision fait partie d’un effort plus large visant à supprimer ou à désactiver les fonctionnalités Office et Windows dont les auteurs de menaces ont abusé pour infecter les clients Microsoft avec des logiciels malveillants. Cela remonte à 2018, lorsque Microsoft a étendu la prise en charge de son Interface d’analyse Antimalware (AMSI) aux applications clientes Office 365 pour contrecarrer les attaques utilisant des macros Office VBA.
Depuis lors, Redmond a également désactivé les macros Excel 4.0 (XLM), a commencé à bloquer les macros VBA Office par défaut, a introduit la protection des macros XLM et a commencé à bloquer les compléments XLL non approuvés par défaut sur les locataires Microsoft 365 du monde entier.
Il a également annoncé en mai qu’il éliminerait VBScript au second semestre 2024 en en faisant une fonctionnalité à la demande jusqu’à ce qu’elle soit complètement supprimée.