Вложения, о которых вы не думали — Microsoft запрещает два формата, активно используемых хакерами
NewsMakerНовое ограничение может сломать старые привычки. Успейте подготовиться.
С июля 2025 года Microsoft начнёт автоматически блокировать вложения с расширениями .library-ms и .search-ms в веб-версии Outlook и в новом Outlook для Windows. Эти изменения затронут все организации, использующие Microsoft 365, и распространятся через политику OwaMailboxPolicy без необходимости ручной настройки.
Причиной обновления стало усиление мер безопасности — оба типа файлов уже не раз использовались в реальных кибератаках. Так, файлы .library-ms, представляющие собой ссылки на виртуальные библиотеки в Windows, стали инструментом атак в начале 2025 года. Тогда их применяли для похищения NTLM-хэшей через уязвимость Windows, отслеживаемую под номером CVE-2025-24054 . Целями фишинговых кампаний выступали правительственные структуры и коммерческие компании.
Файлы с расширением .search-ms, ссылающиеся на встроенный механизм поиска Windows, тоже давно стали частью хакерского арсенала. Ещё в 2022 году стало известно, что их можно использовать для открытия поискового окна Windows на компьютере жертвы и подмены отображаемых результатов. Это позволяло запускать вредоносное ПО при совмещении с уязвимостью в Windows Support Diagnostic Tool (MSDT), известной как CVE-2022-30190 .
В Microsoft подчёркивают, что новые блокировки коснутся малораспространённых форматов, поэтому большинство организаций не почувствуют изменений. Однако если пользователи всё же обмениваются такими вложениями, они больше не смогут их открывать или скачивать в Outlook Web и New Outlook.
Администраторам предлагается заранее настроить исключения — добавить нужные расширения в список разрешённых (AllowedFileTypes) в политике OwaMailboxPolicy. Это актуально, если в организации есть обоснованная необходимость в использовании заблокированных типов файлов.
Обновление проводится в рамках масштабной и последовательной кампании Microsoft по снижению уязвимостей, связанных с устаревшими и злоупотребляемыми компонентами Windows и Office. Эти усилия начались ещё в 2018 году с интеграции интерфейса AMSI в Office 365 — он позволяет антивирусам анализировать выполнение VBA-скриптов в реальном времени.
Позже были внедрены новые уровни защиты: по умолчанию блокируются VBA-макросы в документах Office, отключены устаревшие макросы Excel 4.0 (XLM), добавлена защита от XLM-скриптов, и введено автоматическое блокирование непроверенных надстроек XLL во всех корпоративных Microsoft 365-окружениях.
Дополнительно в мае 2024 года Microsoft объявила о прекращении поддержки VBScript , а в апреле 2025 отключила все ActiveX-компоненты в Office и Microsoft 365 для Windows. Такие решения направлены на устранение целого класса атак, эксплуатирующих встроенные возможности Windows и Office, ранее активно используемые вредоносными кампаниями.
Для компаний, использующих локальные серверы Exchange, есть возможность настроить обход этих ограничений — разрешить приём вложений с новыми блокируемыми расширениями через локальные политики, либо применять альтернативные способы передачи: архивы, смена расширения, OneDrive или SharePoint.
На официальном сайте Microsoft уже доступен обновлённый список блокируемых вложений в Outlook, где можно ознакомиться со всеми типами файлов, попадающими под действие политики безопасности.
С июля 2025 года Microsoft начнёт автоматически блокировать вложения с расширениями .library-ms и .search-ms в веб-версии Outlook и в новом Outlook для Windows. Эти изменения затронут все организации, использующие Microsoft 365, и распространятся через политику OwaMailboxPolicy без необходимости ручной настройки.
Причиной обновления стало усиление мер безопасности — оба типа файлов уже не раз использовались в реальных кибератаках. Так, файлы .library-ms, представляющие собой ссылки на виртуальные библиотеки в Windows, стали инструментом атак в начале 2025 года. Тогда их применяли для похищения NTLM-хэшей через уязвимость Windows, отслеживаемую под номером CVE-2025-24054 . Целями фишинговых кампаний выступали правительственные структуры и коммерческие компании.
Файлы с расширением .search-ms, ссылающиеся на встроенный механизм поиска Windows, тоже давно стали частью хакерского арсенала. Ещё в 2022 году стало известно, что их можно использовать для открытия поискового окна Windows на компьютере жертвы и подмены отображаемых результатов. Это позволяло запускать вредоносное ПО при совмещении с уязвимостью в Windows Support Diagnostic Tool (MSDT), известной как CVE-2022-30190 .
В Microsoft подчёркивают, что новые блокировки коснутся малораспространённых форматов, поэтому большинство организаций не почувствуют изменений. Однако если пользователи всё же обмениваются такими вложениями, они больше не смогут их открывать или скачивать в Outlook Web и New Outlook.
Администраторам предлагается заранее настроить исключения — добавить нужные расширения в список разрешённых (AllowedFileTypes) в политике OwaMailboxPolicy. Это актуально, если в организации есть обоснованная необходимость в использовании заблокированных типов файлов.
Обновление проводится в рамках масштабной и последовательной кампании Microsoft по снижению уязвимостей, связанных с устаревшими и злоупотребляемыми компонентами Windows и Office. Эти усилия начались ещё в 2018 году с интеграции интерфейса AMSI в Office 365 — он позволяет антивирусам анализировать выполнение VBA-скриптов в реальном времени.
Позже были внедрены новые уровни защиты: по умолчанию блокируются VBA-макросы в документах Office, отключены устаревшие макросы Excel 4.0 (XLM), добавлена защита от XLM-скриптов, и введено автоматическое блокирование непроверенных надстроек XLL во всех корпоративных Microsoft 365-окружениях.
Дополнительно в мае 2024 года Microsoft объявила о прекращении поддержки VBScript , а в апреле 2025 отключила все ActiveX-компоненты в Office и Microsoft 365 для Windows. Такие решения направлены на устранение целого класса атак, эксплуатирующих встроенные возможности Windows и Office, ранее активно используемые вредоносными кампаниями.
Для компаний, использующих локальные серверы Exchange, есть возможность настроить обход этих ограничений — разрешить приём вложений с новыми блокируемыми расширениями через локальные политики, либо применять альтернативные способы передачи: архивы, смена расширения, OneDrive или SharePoint.
На официальном сайте Microsoft уже доступен обновлённый список блокируемых вложений в Outlook, где можно ознакомиться со всеми типами файлов, попадающими под действие политики безопасности.