Microsoft je najavio da Outlook za Web i novi Outlook za Windows više neće prikazivati rizične inline SVG slike, koje su hakeri koristili u napadima.
Ova promjena počela je da se uvodi globalno početkom septembra 2025. i biće završena za sve korisnike do sredine oktobra. Prema podacima kompanije iz Redmonda, ovim će biti pogođeno manje od 0,1% svih slika poslatih putem Outlook-a, pa se očekuje minimalan uticaj na korisnike.
„Inline SVG slike više neće biti prikazane u Outlook-u za Web ili u novom Outlook-u za Windows. Umjesto toga, korisnici će vidjeti prazna polja na njihovom mjestu“, saopštio je Microsoft u ažuriranju na Microsoft 365 Message Center-u. „SVG slike poslate kao klasični prilozi i dalje će biti podržane i dostupne iz odjeljka za priloge. Ova promjena pomaže u smanjenju rizika od sajber prijetnji, poput cross-site scripting (XSS) napada.“
Tokom posljednjih godina hakeri su intenzivno koristili SVG (Scalable Vector Graphics) fajlove za distribuciju malvera i kreiranje fišing formi. Sajber bezbjednosne kompanije izvještavaju da su fišing napadi putem SVG formata značajno porasli, podstaknuti PhaaS platformama kao što su Tycoon2FA, Mamba2FA i Sneaky2FA.
Na primjer, Trustwave je u aprilu objavio da su SVG napadi sve više usmjereni na fišing kampanje, sa nevjerovatnim rastom od 1800% između početka 2023. i aprila 2024. godine.
Ukidanje inline SVG prikaza u Outlook-u dio je šire Microsoft-ove strategije uklanjanja i blokiranja funkcionalnosti koje su hakeri zloupotrebljavali u napadima na korisnike.
Tako je u junu kompanija najavila i blokadu fajlova tipa .library-ms i .search-ms u Outlook-u, koji su ranije korišćeni u napadima na državne institucije, a zloupotrebljavani su za fišing i distribuciju malvera od 2022. godine.
Od 2018. Microsoft je proširio podršku za Antimalware Scan Interface (AMSI) kako bi blokirao napade pomoću VBA makroa u Office 365 aplikacijama, zatim je podrazumijevano blokirao VBA makroe, uveo zaštitu od XLM makroa, onemogućio Excel 4.0 (XLM) makroe i počeo da blokira nepouzdane XLL dodatke u Microsoft 365 okruženju.
U aprilu 2025. kompanija je takođe trajno onemogućila sve ActiveX kontrole u Windows verzijama Microsoft 365 i Office 2024 aplikacija, nakon što je u maju 2024. najavila da će u drugoj polovini 2024. biti ukinut VBScript.
Izvor: BleepingComputer