Компания Microsoft продолжает курс на жёсткую изоляцию потенциально опасных механизмов в Office и Windows , объявив о новых ограничениях в Excel: начиная с октября 2025 года и до июля 2026 года, Excel будет по умолчанию блокировать внешние ссылки на файлы, относящиеся к запрещённым типам. Это означает, что любые рабочие книги, ссылающиеся на такие форматы, перестанут обновлять данные или выдадут ошибку #BLOCKED, устраняя вектор атак, ранее использовавшийся для внедрения вредоносного кода через ссылки на внешние документы.
Нововведение реализуется через новую групповую политику FileBlockExternalLinks, расширяющую действующие параметры безопасности File Block Settings — теперь блокировка распространяется не только на локальное открытие файлов определённых типов, но и на удалённые ссылки внутри Excel-документов. Как объясняет Microsoft в сообщении, размещённом в центре администрирования Microsoft 365, предупреждение об изменении начнёт отображаться на панели уведомлений при открытии файлов, содержащих такие ссылки, начиная с билдов Excel версии 2509.
Однако уже в сборке 2510 вступит в силу новая логика обработки: если политика не настроена, Excel прекратит поддержку обновления и создания новых ссылок на форматы, находящиеся в чёрном списке Центра управления безопасностью (Trust Center). При этом Microsoft подчёркивает, что до октября 2025 года изменений не произойдёт даже при отсутствии настройки политики — организациям даётся время подготовиться и проинформировать пользователей.
Чтобы сохранить возможность обращения к таким файлам, администраторы Microsoft 365 могут вручную внести изменения в реестр, добавив ключ HKCU\Software\Microsoft\Office\<version>\Excel\Security\FileBlock\FileBlockExternalLinks. Подробная инструкция размещена в официальной базе знаний Microsoft.
Это обновление — часть более широкой программы, направленной на устранение функций, активно эксплуатируемых злоумышленниками для распространения вредоносных программ. В течение 2024 и 2025 годов Microsoft последовательно ужесточала защитные механизмы в продуктах Office и Windows: были отключены ActiveX-элементы во всех версиях Microsoft 365 и Office 2024, добавлены форматы .library-ms и .search-ms в список запрещённых вложений в Outlook, а также введены дополнительные меры против макросов и расширений .
С 2018 года, когда в Office 365 была внедрена поддержка Antimalware Scan Interface (AMSI), Microsoft систематически закрывает уязвимые каналы: поэтапно отключались VBA-макросы, запрещались XLM-скрипты (Excel 4.0), добавлялась фильтрация XLL-надстроек, а также объявлено о скором отказе от VBScript как от архаичного и опасного механизма.
Все эти шаги направлены на минимизацию рисков, связанных с документоориентированными атаками, включая фишинг через Excel-файлы и загрузку исполняемых компонентов через внешние ссылки. Как показывают недавние исследования, такие методы до сих пор активно используются злоумышленниками для доставки вредоносных загрузчиков и троянов, маскируясь под легитимную междокументную интеграцию.
Кроме того, в тот же день Microsoft объявила об увеличении вознаграждений за обнаружение критических уязвимостей: теперь баги, затрагивающие платформы .NET и ASP.NET Core, могут приносить исследователям до 40 000 долларов. Это решение укрепляет инвестиции компании в сотрудничество с сообществом по кибербезопасности и подчёркивает приоритетность безопасности как ключевой составляющей Microsoft 365 и экосистемы Office.
Администраторам следует заранее проверить зависимости в существующих документах и при необходимости адаптировать бизнес-процессы до вступления ограничений в силу.