Trong nhiều năm, Microsoft Office đã hỗ trợ ActiveX như một tùy chọn để mở rộng và tự động hóa tài liệu. Tuy nhiên, cùng với tiện ích, ActiveX cũng là một lỗ hổng bảo mật nghiêm trọng. Microsoft hiện đang từng bước vô hiệu hóa ActiveX trong các ứng dụng Microsoft 365, tiếp nối động thái tương tự đã được thực hiện với gói Office 2024 vào năm ngoái. Đây là một quyết định quan trọng nhằm tăng cường bảo mật và bảo vệ người dùng khỏi các mối đe dọa trực tuyến.
Lý Do Microsoft Quyết Định “Khóa Chặt” ActiveX Mặc Định
Bắt đầu từ tháng này, các phiên bản Word, Excel, PowerPoint và Visio của Microsoft 365 trên Windows sẽ mặc định vô hiệu hóa tất cả nội dung ActiveX mà không hiển thị bất kỳ thông báo nào. Điều này khác biệt hoàn toàn với cài đặt mặc định trước đây là “Hỏi tôi trước khi bật tất cả các điều khiển với những hạn chế tối thiểu” (Prompt me before enabling all controls with minimal restrictions), vốn cho phép người dùng kích hoạt các điều khiển ActiveX tiềm ẩn nguy hiểm. Các phiên bản Office trên Mac và nền tảng web chưa bao giờ hỗ trợ nội dung ActiveX.
Microsoft giải thích trong một bài đăng trên blog rằng cài đặt cũ có thể bị kẻ tấn công lợi dụng thông qua các chiêu thức lừa đảo xã hội (social engineering) hoặc tệp độc hại. Cài đặt mặc định mới an toàn hơn vì nó chặn hoàn toàn các điều khiển này, giảm đáng kể nguy cơ lây nhiễm phần mềm độc hại hoặc thực thi mã trái phép. Thay đổi này đã được triển khai trong Microsoft Office 2024 và giờ đây sẽ đến với các ứng dụng Microsoft 365 trả phí theo gói đăng ký. Hiện tại, nó đã có sẵn trong Kênh Beta (Beta Channel) cho Phiên bản 2504 (Bản dựng 18730.20030) trở lên và dự kiến sẽ sớm được triển khai rộng rãi cho tất cả người dùng Windows.
ActiveX: Lịch Sử Và Những Rủi Ro Bảo Mật Nghiêm Trọng
Microsoft đã phát hành phiên bản ActiveX đầu tiên vào năm 1996, cho phép các trang web trong Internet Explorer và tài liệu trong Microsoft Office nhúng mã phức tạp cùng nội dung tương tác. Ví dụ, các điều khiển ActiveX có thể được sử dụng để tạo nút bấm hoặc danh sách kiểm tra (checklists) trong tài liệu Office, cho phép chúng sửa đổi tài liệu hoặc thực hiện các hành động bên ngoài khi được nhấp.
Mặc dù ActiveX có một số ứng dụng hợp pháp, nhưng nó lại nổi tiếng hơn rất nhiều trong các vụ tấn công lừa đảo (phishing) và phát tán phần mềm độc hại (malware). Đã có vô số lỗ hổng bảo mật trong ActiveX cho phép một tài liệu Word hoặc PowerPoint tưởng chừng vô hại có thể sửa đổi cài đặt và tệp hệ thống trên Windows. ActiveX cũng là một rủi ro bảo mật và quyền riêng tư thường xuyên trong trình duyệt Internet Explorer và chưa bao giờ được chuyển sang Microsoft Edge, công cụ kế nhiệm của nó.
Vẫn Có Thể Kích Hoạt Lại (Nhưng Không Khuyến Khích)
Quan trọng là, ActiveX không bị loại bỏ hoàn toàn khỏi các ứng dụng Office. Một số tổ chức có thể vẫn cần bật tính năng này, và người dùng cá nhân có thể tùy chỉnh bằng cách điều hướng đến Tệp > Tùy chọn > Trung tâm tin cậy > Cài đặt Trung tâm tin cậy > Cài đặt ActiveX > Hỏi tôi trước khi bật tất cả các điều khiển với những hạn chế tối thiểu (File > Options > Trust Center > Trust Center Settings > ActiveX Settings > Prompt me before enabling all controls with minimal restrictions).
Người dùng sử dụng Microsoft Word trên laptop sau khi Microsoft 365 vô hiệu hóa ActiveX để tăng cường bảo mật.
Microsoft trước đây đã cập nhật các ứng dụng Office để không tự động chạy nội dung ActiveX, nhưng một số tệp độc hại vẫn có thể lừa người dùng nhấp vào nút “Bật Nội dung” (Enable Content). Việc Microsoft mặc định loại bỏ tùy chọn này sẽ giúp giảm thiểu các cuộc tấn công đó, đồng thời vẫn cho phép nội dung ActiveX chạy nếu thực sự cần thiết.
Tương Lai Của ActiveX Và Bảo Mật Office
Thay đổi này dường như là bước cuối cùng trước khi loại bỏ hoàn toàn ActiveX khỏi các ứng dụng Office, mặc dù chưa rõ khi nào (hoặc liệu) điều đó sẽ xảy ra. Một số tài liệu vẫn chỉ hoạt động đúng cách với ActiveX, và nền tảng Add-ins mới hơn của Microsoft chưa phải là một sự thay thế hoàn chỉnh. Đây là mức độ an toàn tối đa mà ActiveX có thể đạt được.
Trước đó, vào năm 2022, Microsoft cũng đã bắt đầu tự động chặn các macro Visual Basic for Applications (VBA) trong tài liệu Office, vốn cũng thường xuyên được sử dụng để phân phối phần mềm độc hại. Thay đổi đó đã được triển khai trên tất cả các phiên bản ứng dụng Office được hỗ trợ vào thời điểm đó, bao gồm Office LTSC, Office 2021, Office 2019, Office 2016 và Office 2013. Động thái mới nhất này một lần nữa khẳng định cam kết của Microsoft trong việc bảo vệ người dùng khỏi các mối đe dọa mạng ngày càng tinh vi.
Với việc vô hiệu hóa ActiveX mặc định, người dùng Microsoft 365 có thể yên tâm hơn khi mở các tài liệu, giảm thiểu rủi ro bị tấn công qua các lỗ hổng phần mềm. Hãy luôn cập nhật ứng dụng của bạn và cảnh giác với các tệp không rõ nguồn gốc để duy trì môi trường làm việc an toàn nhất.
Nguồn tham khảo: Microsoft 365 Insider Blog
