해커의 과도한 남용으로 인해 Microsoft 365에서 ActiveX가 비활성화됩니다.

Microsoft Office는 수년간 문서 확장성 및 자동화를 위한 옵션으로 ActiveX를 지원해 왔지만, 이는 심각한 보안 취약점이기도 합니다. Microsoft는 작년에 Office 2024 제품군에 대한 유사한 조치에 이어 마침내 Microsoft 365 앱에서 ActiveX를 비활성화하기 시작했습니다.

중요한 보안 변경 사항

이번 달부터 Microsoft 365의 Microsoft Word, Excel, PowerPoint, Visio의 Windows 버전은 알림을 표시하지 않고 기본적으로 모든 ActiveX 콘텐츠를 비활성화합니다. Office의 Mac 및 웹 버전은 ActiveX를 지원하지 않습니다.

" 이전 기본 설정은 사용자가 잠재적으로 위험한 ActiveX 컨트롤을 활성화할 수 있도록 허용했는데, 이는 해커가 소셜 엔지니어링이나 악성 파일을 통해 악용할 수 있는 위험 요소였습니다. 새로운 기본 설정은 이러한 컨트롤을 완전히 차단하여 맬웨어 또는 무단 코드 실행 위험을 줄여 보안성이 더욱 강화되었습니다. " 라고 Microsoft는 블로그 게시물을 통해 밝혔습니다.

이 변경 사항은 Microsoft Office 2024에 적용되었지만 이제는 구독 기반 Microsoft 365 앱에도 적용됩니다. 이 기능은 현재 버전 2504(빌드 18730.20030) 이상의 베타 채널에서 사용할 수 있으며 곧 모든 Windows 사용자에게 출시될 예정입니다.

ActiveX가 완전히 제거되지 않았습니다

ActiveX가 Office 응용 프로그램에서 완전히 제거된 것은 아니라는 점에 유의하는 것이 중요합니다. 일부 조직에서는 이 기능이 여전히 활성화되어 있을 수 있으며, 개별 계정에서는
파일 > 옵션 > 보안 센터 > 보안 센터 설정 > ActiveX 설정 > 최소한의 제한으로 모든 컨트롤을 활성화하기 전에 묻기 옵션을 선택하여 다시 활성화할 수 있습니다 .

Microsoft는 1996년에 최초의 ActiveX 버전을 출시하여 Internet Explorer와 Office 문서의 웹 페이지에 복잡한 코드와 대화형 콘텐츠를 포함할 수 있게 했습니다. 예를 들어, ActiveX는 Office 문서에 단추와 체크리스트를 만들 수 있으며, 이를 클릭하면 문서를 수정하거나 외부 작업을 수행할 수 있습니다.

ActiveX는 어느 정도 합법적으로 사용할 수 있지만 피싱과 맬웨어 공격으로 더 악명이 높습니다. 겉보기에 안전해 보이는 Word나 PowerPoint 문서가 Windows 설정과 파일을 변경할 수 있도록 허용하는 ActiveX 취약점이 여러 개 발견되었습니다. 이 취약점은 Internet Explorer에서 자주 발생하는 보안 및 개인 정보 보호 위협이지만 Microsoft Edge에서는 발견되지 않았습니다.

Microsoft는 이전에 Office 애플리케이션을 업데이트하여 ActiveX 콘텐츠를 자동으로 실행하지 않도록 했지만, 일부 악성 파일은 여전히 ​​사용자를 속여 "콘텐츠 사용" 버튼을 클릭하게 만들 수 있습니다. Microsoft에서 기본적으로 이 옵션을 제거하면 절대적으로 필요한 경우에는 ActiveX가 실행되도록 허용하는 동시에 공격을 줄이는 데 도움이 될 것입니다.

위의 변경 사항은 ActiveX가 Office에서 완전히 제거되기 전 마지막 단계인 것으로 보이지만, 언제(또는 제거될지 여부)는 불분명합니다. 일부 문서는 ActiveX에서만 제대로 작동하며, Microsoft의 새로운 추가 기능 플랫폼은 이를 완전히 대체하지 못합니다.

ActiveX를 비활성화하는 것은 피싱 및 맬웨어 공격이 점점 더 정교해지는 가운데, Microsoft가 보안 위험을 줄이기 위한 노력의 또 다른 단계입니다.