Microsoft a découvert une vulnérabilité dans une signature de projet macro Visual Basic pour Applications (VBA) Office. Cette vulnérabilité peut permettre à un utilisateur malveillant de falsifier un projet VBA signé sans invalider sa signature numérique. Par conséquent, nous recommandons aux utilisateurs d’appliquer les mises à jour de sécurité répertoriées dans Vulnérabilités et risques courants CVE-2020-0760 de Microsoft.
Pour renforcer la sécurité de la signature de projet macro VBA Office, Microsoft fournit une version plus sécurisée du modèle de signature de projet VBA : la signature V3. La signature V3 est disponible dans les produits suivants :
-
Microsoft 365 version 2102 (build 16.0.13801.20266) et ultérieures du canal actuel
-
Versions avec licence en volume dʼOffice 2019 version 1808 (build 10372.20060) et ultérieures
-
Versions commerciales dʼOffice 2016 « Démarrer en un clic » et dʼOffice 2019 version 2102 (version 16.0.13801.20266) et versions ultérieures
-
Éditions dʼOffice 2016 basées sur Microsoft Installer (.msi) qui ont les mises à jour suivantes ou des versions ultérieures :
-
Description de la mise à jour de sécurité pour Excel 2016 datée du 8 décembre 2020 (KB4486754)
-
Description de la mise à jour de sécurité pour PowerPoint 2016 datée du 8 décembre 2020 (KB4484393)
-
1er décembre 2020, mise à jour pour Project 2016 (KB4486749)
-
1er décembre 2020, mise à jour pour Publisher 2016 (KB4484334)
-
Description de la mise à jour de sécurité pour Office 2016 datée du 9 mars 2021 (KB4493225)
Nous recommandons aux organisations dʼappliquer la signature V3 à toutes les macros afin dʼéliminer le risque de falsification.
Par défaut, pour veiller à une compatibilité descendante, les fichiers VBA qui ont des signatures existantes continuent de fonctionner et les fichiers signés en utilisant la signature V3 peuvent être ouverts et exécutés dans des versions antérieures d’Office ou dans des clients Office non mis à jour. Toutefois, nous recommandons aux administrateurs de mettre à niveau les signatures VBA existantes vers la signature V3 le plus tôt possible après la mise à niveau d’Office vers les versions répertoriées. Une fois que les administrateurs ont vérifié qu’il n’existe aucune perte de compatibilité pour l’organisation, ils peuvent désactiver les anciennes signatures VBA en activant le paramètre de stratégie Ne faire confiance qu’aux macros VBA qui utilisent des signatures V3. Pour obtenir plus d’informations sur ce paramètre de stratégie, consultez la section « Activer le paramètre de stratégie : faire confiance uniquement aux macros VBA qui utilisent les signatures V3 ».
Mettre à niveau les fichiers VBA signés vers la signature V3
Les administrateurs peuvent utiliser les rubriques suivantes pour mettre à niveau des fichiers de signatures VBA existants vers la signature V3.
Utiliser lʼéditeur VBA pour signer à nouveau les fichiers VBA
Si vous avez des certificats privés, utilisez lʼéditeur Visual Basic pour Applications (VBA) fourni dans une application Office pour signer à nouveau les fichiers VBA.
-
Pour signer à nouveau un fichier VBA, appuyez sur Alt + F11 depuis le fichier pour ouvrir lʼéditeur VBA.
-
Pour remplacer une signature existante par la signature V3, sélectionnez Outils > Signature numérique. La boîte de dialogue Signature numérique s’ouvre.
Remarque : Pour signer un projet VBA, la clé privée doit être correctement installée. Si vous souhaitez obtenir plus d’informations, consultez Signer numériquement votre projet macro.
-
Sélectionnez Choisir pour choisir la clé privée de certificat à utiliser pour signer le projet VBA, puis sélectionnez OK.
-
Pour générer les nouvelles signatures, enregistrez à nouveau le fichier. Les nouvelles signatures numériques remplacent les signatures précédentes.
Utiliser SignTool pour signer à nouveau des fichiers VBA
SignTool dans le Kit de développement logiciel Windows (Kit SDK Windows) Windows 10 peut vous aider à reconnecter les fichiers VBA via une ligne de commande. Pour regrouper le travail de nouvelle signature par rapport à la liste dʼinventaire identifiée dans la section « Créer un inventaire des fichiers VBA signés », vous pouvez intégrer SignTool à vos propres outils d’administrateur.
Remarque : Pour le moment, SignTool ne prend pas en charge Microsoft Access.
Pour signer à nouveau des fichiers VBA à lʼaide de SignTool, suivez ces étapes :
-
Téléchargez et installez le Kit SDK Windows 10.
-
Téléchargez Officesips.exe à partir des Packages dʼinterface dʼobjet Microsoft Office pour la signature numérique de projets VBA.
-
Pour signer des fichiers et vérifier les signatures des fichiers, inscrivez Msosip.dll et Msosipx.dll, puis exécutez Offsign.bat. Les étapes détaillées sont incluses dans le fichier Readme.txt du dossier dʼinstallation dʼOfficesips.exe.
Remarque : Utilisez la version x86 de SignTool dans le dossier « C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86 » lorsque vous exécutez Offsign.bat.
Activer le paramètre de stratégie : « Faire confiance uniquement aux macros VBA qui utilisent les signatures V3 »
Une fois que vous avez terminé la mise à niveau vers les signatures V3, nous vous recommandons dʼactiver le paramètre de stratégie Faire confiance uniquement aux macros VBA qui utilisent les signatures V3 pour vous assurer que seuls les fichiers signés par une signature V3 sont fiables.
Ce paramètre de stratégie est disponible dans la stratégie de groupe ou le Service de stratégie cloud Office. Il se situe dans Configuration utilisateur\Stratégies\Modèles d’administration\Microsoft Office 2016\Paramètres de sécurité\Centre de gestion de la confidentialité. Si ce paramètre est activé, seule la signature V3 est considérée comme valide lorsqu’Office valide la signature numérique dans des fichiers. Les signatures de format plus ancien dans des fichiers VBA seront ignorées.
