Microsoft har opdaget en sårbarhed i signering af makroprojekt i Office Visual Basic for Applications (VBA). Denne sikkerhedsrisiko kan gøre det muligt for en ondsindet bruger at pille ved et signeret VBA-projekt uden at ugyldiggøre den digitale signatur. Derfor anbefaler vi, at brugerne anvender de sikkerhedsopdateringer, der er angivet i Microsoft Common Vulnerabilities and Exposures CVE-2020-0760.
For at forbedre sikkerheden for signering af Office VBA-makroprojekt giver Microsoft en mere sikker version af VBA-projektsignaturskema: V3-signatur. V3-signaturen er tilgængelig i følgende produkter:
-
Microsoft 365 version 2102 (build 16.0.13801.20266) og nyere versioner af den aktuelle kanal
-
Volumenlicensversioner af Office 2019 version 1808 (build 10372.20060) og nyere versioner
-
Detailversioner af Office 2016 Klik og kør-udgaver og Office 2019 version 2102 (build 16.0.13801.20266) og nyere versioner
-
Microsoft Installer-baserede (.msi)-baserede udgaver af Office 2016, der har følgende opdateringer eller nyere versioner af opdateringer:
Vi anbefaler, at organisationer anvender V3-signaturen på alle makroer for at fjerne risikoen for forfalskning.
For at sikre bagudkompatibilitet vil VBA-filer, der har eksisterende signaturer, som standard fortsat fungere, og filer, der er signeret med V3-signaturen, kan åbnes og køres i tidligere versioner af Office eller i ikke-opdaterede Office-klienter. Vi anbefaler dog, at administratorer opgraderer de eksisterende VBA-signaturer til V3-signaturen så hurtigt som muligt, efter de har opgraderet Office til de viste versioner. Når administratorer har bekræftet, at der ikke er noget kompatibilitetstab for organisationen, kan de deaktivere de gamle VBA-signaturer ved at aktivere politikindstillingen Kun tillid til VBA-makroer, der bruger V3-signaturer. Du kan få mere at vide om denne politikindstilling i afsnittet "Aktivér politikindstilling: Hav kun tillid til VBA-makroer, der bruger V3-signaturer".
Opgradere signerede VBA-filer til V3-signaturen
Administratorer kan bruge følgende emner til at opgradere eksisterende VBA-signaturer til V3-signaturen.
Brug VBA-editor til at signere VBA-filer igen
Hvis du har private certifikater, kan du bruge Visual Basic for Applications (VBA) Editor, der findes i et Office-program, til at signere VBA-filerne igen.
-
Hvis du vil signere en VBA-fil igen, skal du trykke på Alt+F11 inde fra filen for at åbne VBA-editoren.
-
Hvis du vil erstatte en eksisterende signatur med V3-signaturen, skal du vælge Værktøjer > Digital signatur. Dialogboksen Digital signatur åbnes.
Bemærk!: Hvis du vil signere et VBA-projekt, skal den private nøgle være installeret korrekt. Du kan få mere at vide under Signere makroprojektet digitalt.
-
Vælg Vælg for at vælge det certifikat privat nøgle, der skal bruges til at signere VBA-projektet, og vælg derefter OK.
-
Hvis du vil oprette de nye signaturer, skal du gemme filen igen. De nye digitale signaturer erstatter de tidligere signaturer.
Brug SignTool til at signere VBA-filer igen
SignTool i Windows 10 SDK kan hjælpe dig med at signere VBA-filerne igen via en kommandolinje. Hvis du vil udføre gensigneringsarbejde i forhold til lagerlisten, der er identificeret i afsnittet "Opret en oversigt over signerede VBA-filer", kan du integrere SignTool i dine egne administrationsværktøjer.
Bemærk!: SignTool understøtter i øjeblikket ikke Microsoft Access.
Hvis du vil signere VBA-filer igen ved hjælp af SignTool, skal du følge disse trin:
-
Download og installér Windows 10 SDK.
-
Download Officesips.exe fra Microsoft Office Subject Interface Packages for Digitally Signing VBA Projects.
-
Hvis du vil signere filer og bekræfte signaturerne i filerne, skal du registrere Msosip.dll og Msosipx.dll og derefter køre Offsign.bat. De detaljerede trin er inkluderet i Readme.txt-filen i installationsmappen i Officesips.exe.
Bemærk!: Brug x86-versionen af SignTool i mappen "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86", når du kører Offsign.bat.
Aktivér politikindstilling: "Hav kun tillid til VBA-makroer, der bruger V3-signaturer"
Når du har fuldført opgraderingen til V3-signaturer, anbefaler vi, at du aktiverer politikindstillingen Kun tillid til VBA-makroer, der bruger V3-signaturer for at sikre, at der kun er tillid til V3-signatursignerede filer.
Denne politikindstilling er tilgængelig i Gruppepolitik eller Office Cloud Policy Service. Den findes i Brugerkonfiguration\Politikker\Administrative skabeloner\Microsoft Office 2016\Sikkerhedsindstillinger\Center for sikkerhed og rettighedsadministration. Hvis denne indstilling er aktiveret, betragtes kun V3-signaturen som gyldig, når Office validerer den digitale signatur i filer. Signaturer i tidligere formater i VBA-filer ignoreres.