为了应对攻击的日益趋势,这些攻击涉及使用对象打包程序控件将恶意对象嵌入Office文档中,Office对Office应用程序中的 Packager 对象的默认激活模型进行了更改。
在此更新之前,当用户双击文档中的嵌入对象时,可以激活 (的可执行文件或脚本,例如使用对象打包器控件嵌入的 EXE、JS、VBS) 。 对于被Windows视为高风险的对象,用户将看到安全警告,如下所示。
如果用户单击“打开”,则该对象将使用已登录用户的权限执行。 攻击者滥用此向社会工程师用户的向量,通过说服他们单击此警告提示激活嵌入Office文档中的恶意程序。
为了保护用户,默认情况下, Microsoft 365 应用程序将阻止激活被视为高风险的对象。 阻止的扩展列表将与Outlook用于阻止附件的扩展列表相同。 扩展列表可在Outlook的“已阻止”附件中找到。
此行为的外观是什么?
Office应用不再允许激活链接到被视为高风险的扩展的对象。 当用户尝试激活此类对象时,会显示以下通知:
Office阻止了对以下嵌入对象的访问,以确保安全。
是否可以自定义被阻止的扩展?
是的,Office提供了两个组策略选项,允许管理员自定义阻止的扩展。 你会发现他们每个人都在 Office/Security Settings/下。
允许 OLE 嵌入的文件扩展名
通过此策略设置,可以使用对象打包程序控件指定在Office文件中作为 OLE 包嵌入文件时,Office不会阻止哪些文件扩展名。 如果启用此策略设置,请输入允许的文件扩展名,用分号分隔。
例如: exe;vbs;js
警告: 恶意脚本和可执行文件可以作为 OLE 包嵌入,如果用户单击,可能会造成损害。 如果将扩展添加到此允许列表中,则可以降低Office的安全性。
阻止 OLE 嵌入的其他文件扩展名
通过此策略设置,可以指定Office在使用对象打包程序控件作为 OLE 包嵌入到Office文件中时阻止的其他文件扩展名。
如果启用此策略设置,请输入要阻止的其他文件扩展名,用分号分隔。
例如: py;rb
注意: 如果在“允许文件扩展名进行 OLE 嵌入”和“阻止 OLE 嵌入的文件扩展名”下添加文件扩展名,则会阻止该扩展名。
如何实现更改此行为?
若要更改特定应用程序(如 Word 或 Excel)的此行为,可以创建以下注册表项: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<Office应用程序>\Security\PackagerPrompt
警告: 如果你使用注册表编辑器或其他方法不正确地修改了注册表,则可能会出现严重问题。 这些问题可能需要重新安装操作系统。 Microsoft 无法保证可以解决这些问题。 修改注册表需要你自担风险。
若要创建注册表项,请执行以下操作:
-
退出可能已打开的任何Office应用程序。
-
通过单击“启动 (”或按键盘上的Windows键) 然后键入 Regedit 并按 Enter 启动注册表编辑器。
-
找到以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<Office application>\Security\
Office应用程序应为以下项之一:
-
Word
-
Excel
-
PowerPoint
-
Visio
-
发布服务器
-
-
右键单击该键,并使用以下值之一添加名为 PackagerPrompt 的新REG_DWORD十六进制值:
-
0 – 用户单击、对象执行时Office没有提示
-
1 – 用户单击对象时Office提示
-
2 – 无提示,对象不执行
-
有一个关于Office的问题,我们没有回答?
访问 Microsoft 解答Community,查看其他人发布的问题和答案,或获取自己的问题的答案。
