為了防止駭客用來散布惡意程式,繼去年年中的預告後,微軟上周宣布正式關閉Excel 4.0 XLM巨集。

XLM程式碼特性,像是變更字串即可隱藏URL或檔案名稱,使惡意程式容易躲避靜態偵測產品。另一方面,Office 365整合了AMSI防範VBA惡意巨集,迫使攻擊者轉向XLM巨集,用它來呼叫Win32 API執行shell指令,Trickbot、Zloader和Ursnif等惡意程式都曾利用XLM巨集攻擊與散布。

去年7月微軟發布新的Excel Trust Center設定選項,讓管理員可手動限制Excel 4.0 XLM 巨集使用。10月微軟再預告,針對未曾啟用Excel 4.0 XLM巨集設定,或是管理員未於群組政策中設定的Microsoft 365租戶,將預設關閉Excel 4.0巨集。已經啟用或是群組政策啟用這項設定者就不受影響。今天的宣布則是於最新版Excel(Build 16.0.14427.10000)中,預設關閉Excel 4.0 XLM巨集,以防禦安全威脅。

想要調整的管理員可以透過Microsoft 365應用程式的政策控制來調整。有2條路徑。一為群組政策,可循「使用者設定」>「管理員範本」>「Microsoft Excel 2016」>「Excel 選項」>「安全」>「信任中心(Trust Center)」下的「巨集通知設定」來開啟或關閉Excel巨集設定。二為機碼。機碼路徑為:Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\
Microsoft\Office\16.0\excel\security。

管理員也可以經由Office雲端政策服務(Office cloud policy service)部署雲端原則,或從Microsoft端點管理員(Microsoft Endpoint Manager)設定ADMX原則。最後,管理員還能藉由開啟群組政策編輯程式中的「封鎖Excel執行XLM巨集」選項,完全封鎖所有XML巨集的使用。

微軟也提醒,在9月分叉版本Excel 16.0.14527.20000以後版本中即已經預設關閉XLM,它會包含於以下更新釋出:

Current Channel builds 2110 以後(2021年10月釋出)、Monthly Enterprise Channel builds 2110 以後(2021年12月釋出)、Semi-Annual Enterprise Channel (Preview) builds 2201 及以後版本(2022年3月釋出)及Semi-Annual Enterprise Channel builds 2201 及以後版本 (2022年7月釋出)。


熱門新聞

Advertisement