A támadások egyre növekvő tendenciáira válaszul, amelyek rosszindulatú objektumokat ágyaznak be Office dokumentumokba az Object Packager vezérlő használatával, Office módosította a Packager-objektumok alapértelmezett aktiválási modelljét Office alkalmazásokban.
A frissítés előtt az Object Packager vezérlővel beágyazott végrehajtható fájlok vagy szkriptek (például EXE, JS, VBS) aktiválhatók, ha a felhasználó duplán kattint a beágyazott objektumra a dokumentumban. A Windows által magas kockázatnak ítélt objektumok esetében a felhasználók biztonsági figyelmeztetést fognak látni az alább látható módon.
Ha a felhasználó a "Megnyitás" gombra kattint, az objektum a bejelentkezett felhasználó jogosultságaival fut. A támadók ezzel a vektorral visszaélnek a közösségi mérnökök felhasználóival, hogy aktiválják a Office dokumentumokba ágyazott rosszindulatú programokat, és rávehetik őket, hogy erre a figyelmeztető üzenetre kattintanak.
A felhasználók védelme érdekében Microsoft 365 alkalmazások alapértelmezés szerint letiltják a magas kockázatú objektumok aktiválását. A letiltott bővítmények listája megegyezik az Outlook által a mellékletek letiltásához használttal. A bővítmények listája a letiltott mellékletekben található Outlook.
Hogyan néz ki ez a viselkedés?
Office alkalmazások már nem engedélyezik a magas kockázatú bővítményekre hivatkozó objektumok aktiválását. Amikor egy felhasználó megpróbál aktiválni egy ilyen objektumot, a következő értesítés jelenik meg:
Office a biztonság érdekében letiltotta a hozzáférést a következő beágyazott objektumhoz.
Testre szabhatom a letiltott bővítményeket?
Igen, Office két Csoportházirend lehetőséget biztosít, amelyekkel a rendszergazda testre szabhatja, hogy mely bővítmények legyenek letiltva. Mindegyik a Office/Security Settings/alatt található.
Fájlkiterjesztések engedélyezése OLE-beágyazáshoz
Ezzel a házirend-beállítással megadhatja, hogy mely fájlkiterjesztések Office ne legyenek blokkolva, ha OLE-csomagként vannak beágyazva egy Office fájlba az Object Packager vezérlő használatával. Ha engedélyezi ezt a házirend-beállítást, adja meg az engedélyezni kívánt fájlkiterjesztéseket pontosvesszővel elválasztva.
Például: exe;vbs;js
Figyelmeztetés: A rosszindulatú szkriptek és végrehajtható fájlok OLE-csomagként ágyazhatók be, és kárt okozhatnak, ha a felhasználó rákattint. Ha bővítményeket ad hozzá ehhez az engedélyezési listához, az Office kevésbé biztonságossá tehetik.
További fájlkiterjesztések letiltása OLE-beágyazáshoz
Ezzel a házirend-beállítással további fájlkiterjesztéseket adhat meg, amelyek Office blokkolva lesznek, ha OLE-csomagként vannak beágyazva egy Office fájlba az Object Packager vezérlő használatával.
Ha engedélyezi ezt a házirend-beállítást, adja meg a letiltandó további fájlkiterjesztéseket pontosvesszővel elválasztva.
Például: py;rb
Megjegyzés: Ha az "Allow file extensions for OLE embedding" (Fájlkiterjesztések engedélyezése OLE-beágyazáshoz) és "Block file extensions for OLE embedding" (Fájlkiterjesztések letiltása OLE-beágyazáshoz) alatt is hozzáad egy fájlkiterjesztést, a bővítmény le lesz tiltva.
Hogyan módosítani ezt a viselkedést?
Ha módosítani szeretné ezt a viselkedést egy adott alkalmazás, például a Word vagy a Excel esetében, a következő beállításkulcsot hozhatja létre: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<Office alkalmazás>\Security\PackagerPrompt
Figyelmeztetés: Ha helytelenül módosítja a beállításjegyzéket a Beállításszerkesztővel vagy más módszerrel, az komoly problémákhoz vezethet. Ezekhez a problémákhoz szükség lehet az operációs rendszer újratelepítésére. A Microsoft nem garantálja a szóban forgó problémák megoldhatóságát. A beállításjegyzéket csak saját felelősségére módosíthatja.
A beállításkulcs létrehozása:
-
Lépjen ki az esetlegesen megnyitott Office alkalmazásokból.
-
Indítsa el a Beállításszerkesztőt a Start gombra kattintva (vagy nyomja le a Windows billentyűt), majd írja be a Regedit parancsot, és nyomja le az Enter billentyűt.
-
Keresse meg a következő beállításkulcsot:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<Office application>\Security\
Office alkalmazásnak a következőnek kell lennie:
-
Word
-
Excel
-
PowerPoint
-
Visio
-
Publisher
-
-
Kattintson a jobb gombbal a kulcsra, és adjon hozzá egy új REG_DWORD PackagerPrompt nevű hexadecimális értéket az alábbi értékek egyikével:
-
0 – Nincs rákérdezés Office, amikor a felhasználó rákattint, az objektum végre lesz hajtva
-
1 – Rákérdezés Office, amikor a felhasználó rákattint, az objektum végre lesz hajtva
-
2 – Nincs rákérdezés, az objektum nem fut
-
Kérdése van Office kapcsolatban, amire nem válaszoltunk?
Látogasson el a Microsoft Answers közösségbe , ahol megtekintheti a mások által közzétett kérdéseket és válaszokat, vagy válaszokat kaphat saját kérdéseire.
