Теперь Excel не доверяет даже вам. Любая внешняя ссылка — враг системы
NewsMakerНикаких внешних файлов. Никаких «подгружу потом». А между документами — бетонная стена.
Компания Microsoft продолжает курс на жёсткую изоляцию потенциально опасных механизмов в Office и Windows , объявив о новых ограничениях в Excel: начиная с октября 2025 года и до июля 2026 года, Excel будет по умолчанию блокировать внешние ссылки на файлы, относящиеся к запрещённым типам. Это означает, что любые рабочие книги, ссылающиеся на такие форматы, перестанут обновлять данные или выдадут ошибку
Нововведение реализуется через новую групповую политику FileBlockExternalLinks, расширяющую действующие параметры безопасности File Block Settings — теперь блокировка распространяется не только на локальное открытие файлов определённых типов, но и на удалённые ссылки внутри Excel-документов. Как объясняет Microsoft в сообщении, размещённом в центре администрирования Microsoft 365, предупреждение об изменении начнёт отображаться на панели уведомлений при открытии файлов, содержащих такие ссылки, начиная с билдов Excel версии 2509.
Однако уже в сборке 2510 вступит в силу новая логика обработки: если политика не настроена, Excel прекратит поддержку обновления и создания новых ссылок на форматы, находящиеся в чёрном списке Центра управления безопасностью (Trust Center). При этом Microsoft подчёркивает, что до октября 2025 года изменений не произойдёт даже при отсутствии настройки политики — организациям даётся время подготовиться и проинформировать пользователей.
Чтобы сохранить возможность обращения к таким файлам, администраторы Microsoft 365 могут вручную внести изменения в реестр, добавив ключ
Это обновление — часть более широкой программы, направленной на устранение функций, активно эксплуатируемых злоумышленниками для распространения вредоносных программ. В течение 2024 и 2025 годов Microsoft последовательно ужесточала защитные механизмы в продуктах Office и Windows: были отключены ActiveX-элементы во всех версиях Microsoft 365 и Office 2024, добавлены форматы
С 2018 года, когда в Office 365 была внедрена поддержка Antimalware Scan Interface (AMSI), Microsoft систематически закрывает уязвимые каналы: поэтапно отключались VBA-макросы, запрещались XLM-скрипты (Excel 4.0), добавлялась фильтрация XLL-надстроек, а также объявлено о скором отказе от VBScript как от архаичного и опасного механизма.
Все эти шаги направлены на минимизацию рисков, связанных с документоориентированными атаками, включая фишинг через Excel-файлы и загрузку исполняемых компонентов через внешние ссылки. Как показывают недавние исследования, такие методы до сих пор активно используются злоумышленниками для доставки вредоносных загрузчиков и троянов, маскируясь под легитимную междокументную интеграцию.
Кроме того, в тот же день Microsoft объявила об увеличении вознаграждений за обнаружение критических уязвимостей: теперь баги, затрагивающие платформы .NET и ASP.NET Core, могут приносить исследователям до 40 000 долларов. Это решение укрепляет инвестиции компании в сотрудничество с сообществом по кибербезопасности и подчёркивает приоритетность безопасности как ключевой составляющей Microsoft 365 и экосистемы Office.
Таким образом, новая политика FileBlockExternalLinks — это ещё один шаг в направлении поэтапного демонтажа устаревших и уязвимых функций в Excel и всей линейке офисных продуктов Microsoft. Администраторам следует заранее проверить зависимости в существующих документах и при необходимости адаптировать бизнес-процессы до вступления ограничений в силу.
#BLOCKED, устраняя вектор атак, ранее использовавшийся для внедрения вредоносного кода через ссылки на внешние документы. Нововведение реализуется через новую групповую политику FileBlockExternalLinks, расширяющую действующие параметры безопасности File Block Settings — теперь блокировка распространяется не только на локальное открытие файлов определённых типов, но и на удалённые ссылки внутри Excel-документов. Как объясняет Microsoft в сообщении, размещённом в центре администрирования Microsoft 365, предупреждение об изменении начнёт отображаться на панели уведомлений при открытии файлов, содержащих такие ссылки, начиная с билдов Excel версии 2509.
Однако уже в сборке 2510 вступит в силу новая логика обработки: если политика не настроена, Excel прекратит поддержку обновления и создания новых ссылок на форматы, находящиеся в чёрном списке Центра управления безопасностью (Trust Center). При этом Microsoft подчёркивает, что до октября 2025 года изменений не произойдёт даже при отсутствии настройки политики — организациям даётся время подготовиться и проинформировать пользователей.
Чтобы сохранить возможность обращения к таким файлам, администраторы Microsoft 365 могут вручную внести изменения в реестр, добавив ключ
HKCU\Software\Microsoft\Office\\Excel\Security\FileBlock\FileBlockExternalLinks . Подробная инструкция размещена в официальной базе знаний Microsoft. Это обновление — часть более широкой программы, направленной на устранение функций, активно эксплуатируемых злоумышленниками для распространения вредоносных программ. В течение 2024 и 2025 годов Microsoft последовательно ужесточала защитные механизмы в продуктах Office и Windows: были отключены ActiveX-элементы во всех версиях Microsoft 365 и Office 2024, добавлены форматы
.library-ms и .search-ms в список запрещённых вложений в Outlook, а также введены дополнительные меры против макросов и расширений . С 2018 года, когда в Office 365 была внедрена поддержка Antimalware Scan Interface (AMSI), Microsoft систематически закрывает уязвимые каналы: поэтапно отключались VBA-макросы, запрещались XLM-скрипты (Excel 4.0), добавлялась фильтрация XLL-надстроек, а также объявлено о скором отказе от VBScript как от архаичного и опасного механизма.
Все эти шаги направлены на минимизацию рисков, связанных с документоориентированными атаками, включая фишинг через Excel-файлы и загрузку исполняемых компонентов через внешние ссылки. Как показывают недавние исследования, такие методы до сих пор активно используются злоумышленниками для доставки вредоносных загрузчиков и троянов, маскируясь под легитимную междокументную интеграцию.
Кроме того, в тот же день Microsoft объявила об увеличении вознаграждений за обнаружение критических уязвимостей: теперь баги, затрагивающие платформы .NET и ASP.NET Core, могут приносить исследователям до 40 000 долларов. Это решение укрепляет инвестиции компании в сотрудничество с сообществом по кибербезопасности и подчёркивает приоритетность безопасности как ключевой составляющей Microsoft 365 и экосистемы Office.
Таким образом, новая политика FileBlockExternalLinks — это ещё один шаг в направлении поэтапного демонтажа устаревших и уязвимых функций в Excel и всей линейке офисных продуктов Microsoft. Администраторам следует заранее проверить зависимости в существующих документах и при необходимости адаптировать бизнес-процессы до вступления ограничений в силу.