为了防止黑客用来传播恶意程序,继去年年中的预告后,微软上周宣布正式关闭Excel 4.0 XLM宏。
XLM程序代码特性,像是变更字符串即可隐藏URL或文件名称,使恶意程序容易躲避静态侦测产品。另一方面,Office 365集成了AMSI防范VBA恶意宏,迫使攻击者转向XLM宏,用它来调用Win32 API执行shell指令,Trickbot、Zloader和Ursnif等恶意程序都曾利用XLM宏攻击与传播。
去年7月微软发布新的Excel Trust Center设置选项,让管理员可手动限制Excel 4.0 XLM宏使用。10月微软再预告,针对未曾激活Excel 4.0 XLM宏设置,或是管理员未于群组政策中设置的Microsoft 365租户,将默认关闭Excel 4.0宏。已经激活或是群组政策激活这项设置者就不受影响。今天的宣布则是于最新版Excel(Build 16.0.14427.10000)中,默认关闭Excel 4.0 XLM宏,以防御安全威胁。
想要调整的管理员可以通过Microsoft 365应用程序的政策控制来调整。有2条路径。一为群组政策,可循“用户设置”“管理员范本”“Microsoft Excel 2016”“Excel选项”“安全”“信任中心(Trust Center)”下的“宏通知设置”来打开或关闭Excel宏设置。二为机码。机码路径为:Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\
Microsoft\Office\16.0\excel\security。
管理员也可以经由Office云计算政策服务(Office cloud policy service)部署云计算原则,或从Microsoft端点管理员(Microsoft Endpoint Manager)设置ADMX原则。最后,管理员还能借由打开群组政策编辑程序中的“封锁Excel执行XLM宏”选项,完全封锁所有XML宏的使用。
微软也提醒,在9月分叉版本Excel 16.0.14527.20000以后版本中即已经默认关闭XLM,它会包含于以下更新发布:
Current Channel builds 2110以后(2021年10月发布)、Monthly Enterprise Channel builds 2110以后(2021年12月发布)、Semi-Annual Enterprise Channel (Preview) builds 2201及以后版本(2022年3月发布)及Semi-Annual Enterprise Channel builds 2201及以后版本(2022年7月发布)。