Microsoft deshabilitará los controles ActiveX de forma predeterminada en la suite Office, a partir de octubre con el lanzamiento de Office 2024. La eliminación gradual del marco de software probablemente esté relacionada con numerosas vulnerabilidades de seguridad que han sido explotadas en el pasado.
Desde 1996, ActiveX se ha utilizado durante mucho tiempo para incrustar objetos interactivos, como botones o formularios, en documentos de Office. Antiguamente se utilizaba para cargar contenido multimedia, como vídeos, en Internet Explorer. Sin embargo, no es compatible con el último navegador Edge de Microsoft.
Con ActiveX deshabilitado, los usuarios de Office ya no podrán interactuar con objetos ActiveX ni crear otros nuevos. Pero algunos objetos ActiveX heredados seguirán siendo visibles como imágenes estáticas.
“A partir del nuevo Office 2024, la configuración predeterminada para los objetos ActiveX cambiará de ‘Preguntarme antes de habilitar todos los controles con restricciones mínimas’ a ‘Deshabilitar todos los controles sin notificación'”, se lee en una entrada del 6 de septiembre en el Centro de mensajes de Microsoft 365. .
“Este cambio se aplica a las versiones de escritorio Win32 de Word, Excel, PowerPoint y Visio”.
VER: ¿Qué es ShrinkLocker? Nuevo ransomware apunta a la función de cifrado BitLocker de Microsoft
Los cambios se producirán por etapas.
La actualización agregó que los usuarios de versiones no comerciales de Office, como Office Hogar y Estudiantes, verán una notificación cuando intenten interactuar con un objeto ActiveX que diga: “La nueva configuración predeterminada es equivalente a la configuración de política de grupo DisableAllActiveX existente”. .”
La implementación del cambio se producirá por etapas. Las aplicaciones de escritorio de Office 2024 para Win32 verán los controles ActiveX deshabilitados de forma predeterminada inmediatamente después del inicio. Las aplicaciones de Microsoft 365 harán lo mismo en abril de 2025.
Los usuarios que aún requieran el uso de ActiveX en documentos de Office deberán habilitar manualmente la función mediante ajustes de configuración en el Centro de confianza, ediciones del registro o configuraciones de políticas de grupo.
Cómo habilitar ActiveX
Para habilitar los controles ActiveX desde la configuración deshabilitada predeterminada, haga lo siguiente:
- En una aplicación de Office, navegue hasta Archivo → Opciones → Centro de confianza → Configuración del Centro de confianza → Configuración de ActiveX. Seleccione la opción “Preguntarme antes de habilitar todos los controles con restricciones mínimas”.
- En el registro o la herramienta de administración de políticas de grupo, navegue hasta HKEY_CURRENT_USER\Software\Microsoft\Office\Common\Security. Establezca “DisableAllActiveX” o “Desactivar todos los ActiveX” en “o”.
ActiveX ha estado plagado de vulnerabilidades y ciberataques
A lo largo de los años, ActiveX se ha aprovechado en ataques que van desde el robo de datos hasta la implementación de malware. Por ejemplo, en 2018, investigadores de seguridad descubrieron que el Grupo Andariel de Corea del Norte estaba utilizando múltiples vulnerabilidades ActiveX para infectar sitios web de Corea del Sur, y lo había hecho durante varios años.
TrickBot, una cepa de malware notoria, también se ha relacionado con ataques basados en ActiveX. En 2020, se descubrió que los piratas informáticos utilizaban el control ActiveX del escritorio remoto para ejecutar automáticamente un descargador de malware incrustado en un documento de Word. El documento se entrega a la víctima mediante un correo electrónico de phishing.
De manera similar, en 2021, se descubrió que piratas informáticos utilizaban ActiveX en documentos de Office 365 para instalar balizas Cobalt Strike y establecer un control persistente.
Microsoft está reduciendo su superficie de ataque al desactivar las funciones de Office
En los últimos años, Microsoft ha estado en pie de guerra contra algunas de sus características heredadas de Office que brindan una gran cantidad de puntos de entrada para los malos actores. Comenzó cuando la compañía amplió el soporte para su interfaz de escaneo antimalware a las aplicaciones de Office 365 en 2018 para detener las amenazas basadas en macros.
VER: Las 6 mejores alternativas gratuitas a Microsoft Word
En 2021, Microsoft volvió a ampliar las defensas AMSI para incluir el escaneo de Excel 4.0 (XLM), detectando macros maliciosas y deteniendo su ejecución. Al año siguiente, también deshabilitó XLM de forma predeterminada en Excel y bloqueó las macros de VBA en archivos descargados de la web. En 2023, los complementos XLL de ubicaciones que no eran de confianza se bloquearon de forma predeterminada, ya que los delincuentes los utilizaban como parte de ataques de phishing.