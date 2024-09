Modificando ancora una volta i piani definiti nel recente passato, Microsoft ha deciso che i tempi non sono ancora maturi per abbandonare del tutto le versioni della suite Office “stand alone”, per dedicarsi esclusivamente alla piattaforma Microsoft 365. Così, per ottobre prossimo è fissato il lancio di Microsoft Office 2024, la più recente incarnazione della soluzione per l’ufficio che non necessita di account online e può essere installata e usata a tempo indeterminato, previo acquisto di regolare licenza, senza versare alcun canone di abbonamento mensile.

Abbiamo visto le differenze tra Office 2021 e Microsoft 365: Microsoft Office 2024 raccoglie l’eredità di Office 2021, che ad oggi costituisce la più recente versione “indipendente”, non direttamente collegata con il cloud dell’azienda di Redmond. La data di ritiro di Office 2021 è fissata per il 13 ottobre 2026: oltre tale data, Microsoft non rilascerà più alcun aggiornamento, neppure quelli di sicurezza.

Microsoft Office 2024: per tutti, non solo per le aziende

Come conferma Microsoft, il nuovo Office 2024 sarà per tutti: aziende, professionisti e utenti privati. Che potranno scegliere tra le classiche proposte in termini di edizioni e di software contenuti nella suite.

La società di Redmond conferma che in prima battuta arriverà la versione LTSC (Long-Term Servicing Channel) destinata ai clienti aziendali; successivamente saranno rilasciate le edizioni dedicate alle altre tipologie di utenza. La durata del supporto sarà in ogni caso di 5 anni, quindi terminerà a ottobre 2029.

Microsoft rivela che Office 2024 non sarà l’ultima versione “stand alone” del pacchetto per l’ufficio. È atteso il rilascio di almeno un’altra versione negli anni seguenti.

Office LTSC 2024 includerà alcune nuove funzionalità rispetto alla versione precedente, ma non tutte le caratteristiche cloud di Microsoft 365.

Office 2024 abbandona la tecnologia ActiveX

Se vi menzioniamo la tecnologia ActiveX, molti di voi sobbalzeranno sulla sedia ripensando agli albori del Web e all’utilizzo di Internet Explorer. ActiveX, infatti, fu presentata proprio da Microsoft nel 1996 come insieme di specifiche tecnologiche per la creazione di componenti software riutilizzabili e interattivi per il Web e le applicazioni desktop.

I documenti Office possono accogliere componenti dinamici e risorse addizionali, tra i quali anche i vecchi ActiveX. Succede oggi e Microsoft ha sempre conservato il supporto per questioni di compatibilità.

I controlli ActiveX permettevano e consentono ancora oggi di inserire funzionalità aggiuntive, come pulsanti, caselle di controllo e interfacce personalizzate. Gli ActiveX possono abilitare l’automazione delle applicazioni Office tramite script e codice VBA (Visual Basic for Applications, anch’esso abbandonato in Windows), consentendo agli sviluppatori di creare applicazioni personalizzate.

Il problema della sicurezza

Applicazioni ActiveX possono essere sfruttate per eseguire codice dannoso, se non sono gestite correttamente. Pertanto, Microsoft ha implementato una serie di misure di sicurezza, raccomandando agli utenti di attivare i controlli ActiveX solo da fonti affidabili.

A partire dal lancio di Office 2024 previsto per ottobre, Microsoft disabiliterà i controlli ActiveX per impostazione predefinita nelle Word, Excel, PowerPoint e Visio. La stessa modifica sarà portata su Microsoft 365 a partire da aprile 2025.

Con l’arrivo del nuovo Office 2024, l’impostazione di configurazione predefinita per gli oggetti ActiveX cambierà da “Chiedi prima di abilitare tutti i controlli con restrizioni minime” a “Disabilita tutti i controlli senza notifica“. In altre parole, i programmi della suite Office non chiederanno più se attivare i controlli ActiveX eventualmente presenti nei documenti.

Non solo. Gli utenti non saranno più in grado di creare o interagire con oggetti ActiveX nei documenti di Office una volta implementata questa modifica.

Alcuni elementi ActiveX integrati nei documenti Office continueranno ad apparire come immagini statiche ma gli utenti non saranno più in grado di attivare alcun tipo di interazione.

Ci saranno delle opzioni per riattivare la configurazione precedente (ad esempio impostare a 0 il valore HKEY_CURRENT_USER\Software\Microsoft\Office\Common\Security\DisableAllActiveX nel registro di sistema di Windows), ma è importante registrare il “cambio di rotta” imposto da Microsoft.

Tanti aggressori hanno usato controlli ActiveX malevoli nei documenti Office

È risaputo che i documenti Office rappresentano uno dei grimaldelli preferiti dagli aggressori per distribuire malware e ransomware.

Combinando il supporto per gli ActiveX a tutt’oggi disponibile in Office con alcune vulnerabilità zero-day, gli aggressori sono spesso riusciti a trovare vie privilegiate per eseguire codice arbitrario al semplice doppio (apertura del file) o, addirittura, al momento della visualizzazione dell’anteprima in Esplora file.

Gli attaccanti hanno ad esempio utilizzato controlli ActiveX incorporati nei documenti Word, per installare malware TrickBot e il noto tool Cobalt Strike al fine di infiltrarsi nelle reti aziendali.