微软本周表示,基于安全考量,将关闭Microsoft 365的Excel 4.0宏。
微软即将于本月起更新Microsoft 365 Excel Trust Center宏的设置,默认关闭Excel 4.0宏。微软预计10月底会先开始部署到Insider-Slow信道,11月初完成。而目前信道(Current Channel)11月初将开始部署,11月中完成。最后,每月企业信道(Monthly Enterprise Channel)版本,则预计于12月开始及完成部署。
XLM宏是相当古老的宏语言,微软1992年Excel 4.0即使用XLM,直到1993年Excel 5.0改用VBA。XLM简单又可兼容于Windows,有许多企业的合法应用中仍然使用XLM。
XLM程序代码的特性使其容易混淆(obfuscate)以躲避静态侦测,例如变更字符串即可隐藏URL或文件名称躲过静态侦测产品。另一方面,Office 365集成了AMSI防范VBA恶意宏,迫使攻击者转向XLM宏,用它来调用Win32 API执行shell指令,包括Trickbot、Zloader和Ursnif等攻击手法都使用了XLM宏。
今天这项宣布是微软基于XLM的安全考量做的最新措施。今年3月微软为Office 365加入XLM宏扫描功能,并在7月宣布限制使用XLM宏。
最新措施将在已激活VBA宏的Microsoft 365/Office 365中的所有租户(tenant)环境下,默认关闭“激活XLM宏”的选项。
不过,只有未曾激活XLM宏设置,或是管理员未于群组政策中设置的租户才会受影响。已经激活Excel 4.0,或是群组政策包含这项设置者,就不受影响。
对于想打开Excel 4.0或其他需求的用户,微软也提供了变更宏的执行说明。