Az Olyan támadások növekvő tendenciájára reagálva, amelyek rosszindulatú objektumokat ágyaznak be az Office-dokumentumokba az Object Packager vezérlő használatával, az Office módosította a Packager-objektumok alapértelmezett aktiválási modelljét az Office-alkalmazásokban.
A frissítés előtt az Object Packager vezérlővel beágyazott végrehajtható fájlok vagy szkriptek (e.g. EXE, JS, VBS) aktiválhatók, amikor egy felhasználó duplán kattint a beágyazott objektumra a dokumentumban. A Windows által magas kockázatnak tekintett objektumok esetében a felhasználók az alábbiak szerint biztonsági figyelmeztetést fognak látni.
Ha a felhasználó a "Megnyitás" gombra kattint, az objektum a bejelentkezett felhasználó jogosultságaival fut. A támadók ezzel a vektorral visszaélnek a közösségi mérnökök felhasználóival, hogy aktiválják az Office-dokumentumokba beágyazott rosszindulatú programokat, és rávezzék őket, hogy erre a figyelmeztető üzenetre kattintanak.
A felhasználók védelme érdekében Microsoft 365 alkalmazások alapértelmezés szerint blokkolják a magas kockázatú objektumok aktiválását. A letiltott bővítmények listája ugyanaz lesz, amelyet az Outlook a mellékletek blokkolására használ. A bővítmények listája a Letiltott mellékletek az Outlookban című témakörben található.
Hogyan néz ki ez a viselkedés?
Az Office-alkalmazások már nem engedélyezik a magas kockázatú bővítményekre hivatkozó objektumok aktiválását. Amikor egy felhasználó megpróbál aktiválni egy ilyen objektumot, a következő értesítés jelenik meg:
Az Office a biztonság érdekében letiltotta a hozzáférést a következő beágyazott objektumhoz.
Testre szabhatom a letiltott bővítményeket?
Igen, az Office két Csoportházirend lehetőséget biztosít, amelyekkel a rendszergazda testre szabhatja, hogy mely bővítmények legyenek letiltva. Mindegyik a Office/Security Settings/alatt található.
Fájlkiterjesztések engedélyezése OLE-beágyazáshoz
Ezzel a házirend-beállítással megadhatja, hogy mely fájlkiterjesztéseket ne blokkolja az Office, ha OLE-csomagként vannak beágyazva egy Office-fájlba az Object Packager vezérlő használatával. Ha engedélyezi ezt a házirend-beállítást, adja meg az engedélyezni kívánt fájlkiterjesztéseket pontosvesszővel elválasztva.
Például: exe; vbs;js
Figyelmeztetés: A rosszindulatú szkriptek és végrehajtható fájlok OLE-csomagként ágyazhatók be, és kárt okozhatnak, ha a felhasználó rákattint. Ha bővítményeket ad hozzá ehhez az engedélyezési listához, az office-t kevésbé biztonságossá teheti.
További fájlkiterjesztések letiltása OLE-beágyazáshoz
Ez a házirend-beállítás lehetővé teszi további fájlkiterjesztések megadását, amelyeket az Office blokkol, ha OLE-csomagként vannak beágyazva egy Office-fájlba az Object Packager vezérlő használatával.
Ha engedélyezi ezt a házirend-beállítást, adja meg a letiltandó további fájlkiterjesztéseket pontosvesszővel elválasztva.
Például: py; rb
Megjegyzés: Ha az "Allow file extensions for OLE embedding" és a "Block file extensions for OLE embedding" (Fájlkiterjesztések engedélyezése OLE-beágyazáshoz) és a "Block file extensions for OLE embedding" (Fájlkiterjesztések letiltása OLE-beágyazáshoz) alatt is hozzáad egy fájlkiterjesztést, a bővítmény le lesz tiltva.
Hogyan módosítani ezt a viselkedést?
Egy adott alkalmazás, például az Word vagy az Excel viselkedésének módosításához a következő beállításkulcsot hozhatja létre: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<Office-alkalmazás>\Security\PackagerPrompt
Figyelmeztetés: Ha helytelenül módosítja a beállításjegyzéket a Beállításszerkesztővel vagy más módszerrel, az komoly problémákhoz vezethet. Ezekhez a problémákhoz szükség lehet az operációs rendszer újratelepítésére. A Microsoft nem garantálja a szóban forgó problémák megoldhatóságát. A beállításjegyzéket saját felelősségére módosíthatja.
A beállításkulcs létrehozása:
-
Lépjen ki az esetlegesen megnyitott Office-alkalmazásokból.
-
Indítsa el a Beállításjegyzék Szerkesztő kattintson a Start gombra (vagy nyomja le a Windows billentyűt a billentyűzeten), majd írja be a Regedit parancsot, és nyomja le az Enter billentyűt.
-
Keresse meg a következő beállításkulcsot:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<Office application>\Security\
Az Office-alkalmazásnak az alábbiak egyikének kell lennie:
-
Word
-
Excel
-
PowerPoint
-
Visio
-
Publisher
-
-
Kattintson a jobb gombbal a kulcsra, és adjon hozzá egy új REG_DWORD PackagerPrompt nevű hexadecimális értéket az alábbi értékek egyikével:
-
0 – Nem jelenik meg kérdés az Office-tól, amikor a felhasználó rákattint, az objektum végrehajtása
-
1 – Rákérdezés az Office-ból, amikor a felhasználó rákattint, az objektum végre lesz hajtva
-
2 – Nincs rákérdezés, az objektum nem fut
-
Kérdése van az Office-ról, amelyre nem válaszoltunk?
Látogasson el a Microsoft Answers-közösségbe , ahol megtekintheti a mások által közzétett kérdéseket és válaszokat, vagy válaszokat kaphat saját kérdéseire.
