微软将关闭Excel 4.0宏确保用户安全

微软本周表示，基于安全考量，将关闭Microsoft 365的Excel 4.0宏。

微软即将于本月起更新Microsoft 365 Excel Trust Center宏的设定，预设关闭Excel 4.0宏。微软预计10月底会先开始部署到Insider-Slow通道，11月初完成。而目前通道（Current Channel）11月初将开始部署，11月中完成。最后，每月企业通道（Monthly Enterprise Channel）版本，则预计于12月开始及完成部署。

XLM宏是相当古老的宏语言，微软1992年Excel 4.0即使用XLM，直到1993年Excel 5.0改用VBA。XLM简单又可相容于Windows，有许多企业的合法应用中仍然使用XLM。

XLM程式码的特性使其容易混淆（obfuscate）以躲避静态侦测，例如变更字串即可隐藏URL或档案名称躲过静态侦测产品。另一方面，Office 365整合了AMSI防范VBA恶意宏，迫使攻击者转向XLM宏，用它来呼叫Win32 API执行shell指令，包括Trickbot、Zloader和Ursnif等攻击手法都使用了XLM宏。

今天这项宣布是微软基于XLM的安全考量做的最新措施。今年3月微软为Office 365 加入XLM宏扫描功能，并在7月宣布限制使用XLM宏。

最新措施将在已启用VBA宏的Microsoft 365/Office 365中的所有租户（tenant）环境下，预设关闭“启用XLM宏”的选项。

不过，只有未曾启用XLM宏设定，或是管理员未于群组政策中设定的租户才会受影响。已经启用Excel 4.0，或是群组政策包含这项设定者，就不受影响。

对于想开启Excel 4.0或其他需求的用户，微软也提供了变更宏的执行说明。