Η Microsoft έχει ανακαλύψει μια ευπάθεια στην υπογραφή έργου μακροεντολών του Office Visual Basic for Applications (VBA). Αυτή η ευπάθεια μπορεί να επιτρέψει σε έναν κακόβουλο χρήστη να αλλοιώσει ένα υπογεγραμμένο έργο VBA χωρίς να ακυρωθεί η ψηφιακή υπογραφή του. Επομένως, συνιστάται στους χρήστες να εφαρμόζουν τις ενημερώσεις ασφαλείας που αναφέρονται στις Κοινές ευπάθειες και εκθέσεις της Microsoft CVE-2020-0760.
Για να βελτιώσει την ασφάλεια της υπογραφής έργου μακροεντολών VBA του Office, η Microsoft παρέχει μια πιο ασφαλή έκδοση του συνδυασμού υπογραφής έργου VBA: υπογραφή V3. Η υπογραφή V3 είναι διαθέσιμη στα ακόλουθα προϊόντα:
-
Microsoft 365 έκδοση 2102 (δομή 16.0.13801.20266) και νεότερες εκδόσεις του τρέχοντος καναλιού
-
Εκδόσεις πολλαπλών αδειών χρήσης του Office 2019 έκδοση 1808 (δομή 10372.20060) και νεότερες εκδόσεις
-
Εκδόσεις λιανικής πώλησης των εκδόσεων του Office 2016 "Χρήση με ένα κλικ" και του Office 2019 έκδοση 2102 (δομή 16.0.13801.20266) και νεότερες εκδόσεις
-
Εκδόσεις του Office 2016 που βασίζονται στο Microsoft Installer (.msi) και έχουν τις ακόλουθες ενημερώσεις ή νεότερες εκδόσεις ενημερώσεων:
-
Περιγραφή της ενημέρωσης ασφαλείας για Excel 2016: 8 Δεκεμβρίου 2020 (KB4486754)
-
Περιγραφή της ενημέρωσης ασφαλείας για PowerPoint 2016: 8 Δεκεμβρίου 2020 (KB4484393)
-
Ενημέρωση της 1ης Δεκεμβρίου 2020 για Publisher 2016 (KB4484334)
-
Ενημέρωση για το Visio 2016 (KB4486709) της 1ης Δεκεμβρίου 2020
-
Περιγραφή της ενημέρωσης ασφαλείας για το Office 2016: 9 Μαρτίου 2021 (KB4493225)
Συνιστάται στους οργανισμούς να εφαρμόζουν την υπογραφή V3 σε όλες τις μακροεντολές για να εξαλείφουν τον κίνδυνο αλλοίωσης.
Από προεπιλογή, για να διασφαλιστεί η συμβατότητα με προηγούμενες εκδόσεις, τα αρχεία VBA που έχουν υπάρχουσες υπογραφές θα συνεχίσουν να λειτουργούν και τα αρχεία που έχουν υπογραφεί με χρήση της υπογραφής V3 μπορούν να ανοίξουν και να εκτελεστούν σε παλαιότερες εκδόσεις του Office ή σε μη ενημερωμένα προγράμματα-πελάτες του Office. Ωστόσο, συνιστάται στους διαχειριστές να αναβαθμίσουν τις υπάρχουσες υπογραφές VBA στην υπογραφή V3 το συντομότερο δυνατό μετά την αναβάθμιση του Office στις εκδόσεις που παρατίθενται. Αφού οι διαχειριστές επαληθεύσουν ότι δεν υπάρχει απώλεια συμβατότητας για τον οργανισμό, μπορούν να απενεργοποιήσουν τις παλιές υπογραφές VBA, ενεργοποιώντας τη ρύθμιση πολιτικής Μόνο αξιόπιστες VBA που χρησιμοποιούν τις υπογραφές V3. Για περισσότερες πληροφορίες σχετικά με αυτήν τη ρύθμιση πολιτικής, ανατρέξτε στην ενότητα "Ενεργοποίηση ρύθμισης πολιτικής: Να θεωρούνται αξιόπιστες μόνο οι μακροεντολές VBA που χρησιμοποιούν υπογραφές V3".
Αναβάθμιση υπογεγραμμένων αρχείων VBA στην υπογραφή V3
Οι διαχειριστές μπορούν να χρησιμοποιήσουν τα ακόλουθα θέματα για να αναβαθμίσουν υπάρχοντα αρχεία υπογραφών VBA στην υπογραφή V3.
Χρήση του προγράμματος επεξεργασίας VBA για την εκ νέου υπογραφή αρχείων VBA
Εάν έχετε ιδιωτικά πιστοποιητικά, χρησιμοποιήστε το πρόγραμμα επεξεργασίας Visual Basic for Applications (VBA) που παρέχεται σε μια εφαρμογή του Office για να υπογράψετε ξανά τα αρχεία VBA.
-
Για να υπογράψετε ξανά ένα αρχείο VBA, πατήστε το συνδυασμό πλήκτρων Alt+F11 μέσα από το αρχείο για να ανοίξετε το πρόγραμμα επεξεργασίας VBA.
-
Για να αντικαταστήσετε μια υπάρχουσα υπογραφή με την υπογραφή V3, επιλέξτε Εργαλεία > Ψηφιακή υπογραφή. Ανοίγει το παράθυρο διαλόγου Ψηφιακή υπογραφή.
Σημείωση: Για να υπογράψετε ένα έργο VBA, το ιδιωτικό κλειδί πρέπει να έχει εγκατασταθεί σωστά. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ψηφιακή υπογραφή έργου μακροεντολών.
-
Επιλέξτε Επιλογή για να επιλέξετε το ιδιωτικό κλειδί πιστοποιητικού που θα χρησιμοποιηθεί για την υπογραφή του έργου VBA και, στη συνέχεια, επιλέξτε OK.
-
Για να δημιουργήσετε τις νέες υπογραφές, αποθηκεύστε ξανά το αρχείο. Οι νέες ψηφιακές υπογραφές θα αντικαταστήσουν τις προηγούμενες υπογραφές.
Χρήση του SignTool για την εκ νέου υπογραφή αρχείων VBA
SignTool in the Windows 10 SDK can help you re-sign the VBA files through a command line. Για να ομαδοποιήσετε εκ νέου την εργασία με τη λίστα αποθέματος που προσδιορίζεται στην ενότητα "Δημιουργία απογραφής υπογεγραμμένων αρχείων VBA", μπορείτε να ενοποιήσετε το SignTool στα δικά σας εργαλεία διαχείρισης.
Σημείωση: Προς το παρόν, το SignTool δεν υποστηρίζει τη Microsoft Access.
Για να υπογράψετε ξανά αρχεία VBA χρησιμοποιώντας το SignTool, ακολουθήστε τα παρακάτω βήματα:
-
Κατεβάστε και εγκαταστήστε το SDK Windows 10.
-
Κάντε λήψη Officesips.exe από πακέτα διασύνδεσης θέματος του Microsoft Office για την ψηφιακή υπογραφή έργων VBA.
-
Για να υπογράψετε αρχεία και να επαληθεύσετε τις υπογραφές σε αρχεία, καταχωρήστε Msosip.dll και Msosipx.dll και, στη συνέχεια, εκτελέστε Offsign.bat. Τα λεπτομερή βήματα περιλαμβάνονται στο αρχείο Readme.txt στο φάκελο εγκατάστασης του Officesips.exe.
Σημείωση: Χρησιμοποιήστε την έκδοση x86 του SignTool στο φάκελο "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" κατά την εκτέλεση του Offsign.bat.
Ενεργοποίηση ρύθμισης πολιτικής: "Μόνο αξιόπιστες μακροεντολές VBA που χρησιμοποιούν υπογραφές V3"
Αφού ολοκληρώσετε την αναβάθμιση στις υπογραφές V3, συνιστάται να ενεργοποιήσετε τις μακροεντολές VBA only trust που χρησιμοποιούν τη ρύθμιση πολιτικής V3 signatures, για να βεβαιωθείτε ότι μόνο τα υπογεγραμμένα αρχεία V3 είναι αξιόπιστα.
Αυτή η ρύθμιση πολιτικής είναι διαθέσιμη στο Πολιτική ομάδας ή στην Υπηρεσία πολιτικής cloud του Office. Βρίσκεται στο φάκελο Ρυθμίσεις χρήστη\Πολιτικές\Πρότυπα διαχείρισης\Microsoft Office 2016\Ρυθμίσεις ασφαλείας\Κέντρο αξιοπιστίας. Εάν αυτή η ρύθμιση είναι ενεργοποιημένη, μόνο η υπογραφή V3 θα θεωρείται έγκυρη όταν το Office επικυρώσει την ψηφιακή υπογραφή σε αρχεία. Οι υπογραφές παλαιότερης μορφής σε αρχεία VBA θα παραβλέπονται.
