微軟本周表示,基於安全考量,將關閉Microsoft 365的Excel 4.0巨集。
微軟即將於本月起更新Microsoft 365 Excel Trust Center巨集的設定,預設關閉Excel 4.0巨集。微軟預計10月底會先開始部署到Insider-Slow通道,11月初完成。而目前通道(Current Channel)11月初將開始部署,11月中完成。最後,每月企業通道(Monthly Enterprise Channel)版本,則預計於12月開始及完成部署。
XLM巨集是相當古老的巨集語言,微軟1992年Excel 4.0即使用XLM,直到1993年Excel 5.0改用VBA。XLM簡單又可相容於Windows,有許多企業的合法應用中仍然使用XLM。
XLM程式碼的特性使其容易混淆(obfuscate)以躲避靜態偵測,例如變更字串即可隱藏URL或檔案名稱躲過靜態偵測產品。另一方面,Office 365整合了AMSI防範VBA惡意巨集,迫使攻擊者轉向XLM巨集,用它來呼叫Win32 API執行shell指令,包括Trickbot、Zloader和Ursnif等攻擊手法都使用了XLM巨集。
今天這項宣布是微軟基於XLM的安全考量做的最新措施。今年3月微軟為Office 365 加入XLM巨集掃描功能,並在7月宣布限制使用XLM巨集。
最新措施將在已啟用VBA巨集的Microsoft 365/Office 365中的所有租戶(tenant)環境下,預設關閉「啟用XLM巨集」的選項。
不過,只有未曾啟用XLM巨集設定,或是管理員未於群組政策中設定的租戶才會受影響。已經啟用Excel 4.0,或是群組政策包含這項設定者,就不受影響。
對於想開啟Excel 4.0或其他需求的用戶,微軟也提供了變更巨集的執行說明。