Microsoft bloqueará ActiveX en Microsoft 365 y Office 2024

Microsoft comenzará a deshabilitar por defecto todos los controles ActiveX en las versiones de Windows de las suite de productividad y colaboración, Microsoft 365 y Office 2024, a finales de este mes.

Introducido hace casi tres décadas, en 1996, ActiveX es un marco de software heredado que permite a los desarrolladores crear objetos interactivos incrustados en documentos de Office. Su problema ha sido sus numerosos problemas de seguridad. 

Una vez implementados los cambios anunciados por Microsoft, ActiveX se bloqueará por completo y sin notificación en Word, Excel, PowerPoint y Visio para reducir el riesgo de malware o ejecución de código no autorizado. Al abrir documentos con controles ActiveX, aparecerá una notificación en la parte superior con un botón «Más información» que dirá: «CONTENIDO BLOQUEADO: El contenido ActiveX en este archivo está bloqueado».

Microsoft también advirtió a los usuarios de Office en un documento de soporte independiente que no abran archivos adjuntos inesperados ni cambien la configuración de ActiveX cuando aparezcan ventanas emergentes aleatorias o personas desconocidas lo soliciten.

«Cuando ActiveX está deshabilitado, ya no se podrá crear ni interactuar con objetos ActiveX en los archivos de Microsoft 365. Algunos objetos ActiveX existentes seguirán siendo visibles como una imagen estática, pero no será posible interactuar con ellos», explica Zaeem Patel , gerente de producto del equipo de Seguridad de Office.

Para una seguridad óptima, Microsoft recomienda encarecidamente dejar los controles ActiveX deshabilitados «a menos que sea absolutamente necesario», insisten, y ello podrá hacerse a través del Centro de confianza.

Adiós a ActiveX

La decisión de desactivarlo de forma predeterminada probablemente fue motivada por los conocidos problemas de seguridad de ActiveX, incluidas vulnerabilidades de día cero que fueron explotadas por varios grupos de amenazas respaldados por estados y motivados financieramente para implementar malware. Los ciberdelincuentes también han utilizado controles ActiveX integrados en documentos de Word para instalar malware TrickBot y balizas Cobalt Strike para violar y mantener el acceso a las redes empresariales.

Esta medida también es un esfuerzo mucho más amplio para eliminar o desactivar funciones de Windows y Office que los atacantes han utilizado de forma abusiva para infectar a los clientes de Microsoft con malware. Esto se remonta a 2018, cuando Microsoft amplió la compatibilidad de su Interfaz de Análisis Antimalware (AMSI) a las aplicaciones cliente de Office 365 para frustrar ataques mediante macros de VBA de Office.