Microsoft גילתה פגיעות בחתימה על פרוייקט מאקרו של Office Visual Basic for Applications (VBA). פגיעות זו עשויה לאפשר למשתמש זדוני לטפל שלא כדין בפרוייקט VBA חתום מבלי לבטל את תדירות החתימה הדיגיטלית שלו. לכן, אנו ממליצים למשתמשים להחיל את עדכוני האבטחה המפורטים בפגיעויות נפוצות של Microsoft וחשיפה CVE-2020-0760.
כדי לשפר את האבטחה של חתימת פרוייקט המאקרו של Office VBA, Microsoft מספקת גירסה מאובטחת יותר של ערכת חתימות פרוייקט VBA: חתימת V3. חתימת V3 זמינה במוצרים הבאים:
-
Microsoft 365 גירסה 2102 (גירסת Build מס' 16.0.13801.20266) וגירסאות מאוחרות יותר של הערוץ הנוכחי
-
גירסאות ברשיון רב משתמשים של Office 2019 גירסה 1808 (גירסת Build מס' 10372.20060) וגירסאות מתקדמות יותר
-
גירסאות קמעונאיות של מהדורות 'לחץ והפעל' של Office 2016 ו- Office 2019 גירסה 2102 (גירסת Build מס' 16.0.13801.20266) וגירסאות מתקדמות יותר
-
מהדורות מבוססות Microsoft Installer (.msi) של Office 2016 הכוללות את העדכונים הבאים או גירסאות מאוחרות יותר של עדכונים:
ארגונים ממליצים להחיל את חתימת V3 על כל פקודות המאקרו כדי למנוע את הסיכון לטפל שלא כדין.
כברירת מחדל, כדי להבטיח תאימות לאחור, קבצי VBA בעלי חתימות קיימות ימשיכו לפעול, וקבצים החתומיים באמצעות חתימת V3 יכולים להיפתח ולהפעיל אותם בגירסאות קודמות של Office או לקוחות Office שאינם מעודכנים. עם זאת, מומלץ שמנהלי מערכת ישדרגו את חתימות VBA הקיימות לחתימה של V3 בהקדם האפשרי לאחר שדרוג Office לגירסאות המפורטות. לאחר שמנהלי מערכת מוודאים שאין אובדן תאימות לארגון, הם יכולים להפוך את חתימות ה- VBA הקיימות ללא זמינות על-ידי הפעלת הגדרת המדיניות תן אמון בפקודות מאקרו של VBA בלבד המשתמשות במדיניות חתימות V3. לקבלת מידע נוסף אודות הגדרת מדיניות זו, עיין בסעיף "הפוך הגדרת מדיניות לזמינה: תן אמון בפקודות מאקרו של VBA המשתמשות בחתימות V3 בלבד".
שדרוג קבצי VBA חתומים לחתימה של V3
מנהלי מערכת יכולים להשתמש בנושאים הבאים כדי לשדרג קבצי חתימות VBA קיימים לחתימה של V3.
השתמש בעורך VBA כדי להוסיף חתימה מחדש לקבצי VBA
אם יש לך אישורים פרטיים, השתמש בעורך Visual Basic for Applications (VBA) שסופק ביישום של Office כדי לחתום מחדש על קבצי ה- VBA.
-
כדי לחתום מחדש על קובץ VBA, הקש Alt+F11 מתוך הקובץ כדי לפתוח את עורך VBA.
-
כדי להחליף חתימה קיימת בחתימה V3, בחר כלים> דיגיטלית. תיבת הדו-שיח חתימה דיגיטלית נפתחת.
הערה: כדי לחתום על פרוייקט VBA, המפתח הפרטי חייב להיות מותקן כראוי. לקבלת מידע נוסף, ראה הוספת חתימה דיגיטלית לפרוייקט המאקרו שלך.
-
בחר באפשרות בחר כדי לבחור את המפתח הפרטי של האישור שבו יש להשתמש כדי לחתום על פרוייקט ה- VBA ולאחר מכן בחר אישור.
-
כדי ליצור את החתימות החדשות, שמור את הקובץ שוב. החתימות הדיגיטליות החדשות יחליפו את החתימות הקודמות.
השתמש ב- SignTool כדי לחתום מחדש על קבצי VBA
SignTool ב- Windows 10 SDK יכול לעזור לך לחתום מחדש על קבצי ה- VBA באמצעות שורת פקודה. כדי ליצור אצווה של עבודת החתימה מחדש מול רשימת המלאי המזוהה בסעיף "יצירת מלאי של קבצי VBA חתומים", באפשרותך לשלב את SignTool בכלי הניהול שלך.
הערה: בשלב זה, SignTool אינו תומך ב- Microsoft Access.
כדי להוסיף חתימה מחדש לקבצי VBA באמצעות SignTool, בצע את הפעולות הבאות:
-
הורד והתקן את Windows 10 SDK.
-
הורד Officesips.exe מחבילות ממשק הנושא של Microsoft Office עבור פרוייקטי VBA בחתימה דיגיטלית.
-
כדי לחתום על קבצים ולאמת את החתימות בקבצים, רשום Msosip.dll הקבצים Msosipx.dll ולאחר מכן הפעל Offsign.bat. השלבים המפורטים כלולים בקובץ Readme.txt ההתקנה של תיקיית ההתקנה של Officesips.exe.
הערה: השתמש בגירסה x86 של SignTool בתיקיה "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" בעת הפעלת Offsign.bat.
הפוך הגדרת מדיניות לזמינה: "תן אמון רק בפקודות מאקרו של VBA המשתמשות בחתימות V3"
לאחר השלמת השדרוג לחתימות V3, מומלץ להפוך לזמינות את הגדרת המדיניות תן אמון בפקודות מאקרו של VBA בלבד המשתמשות בחתימות V3 כדי לוודא שרק קבצים עם חתימה של V3 מהימנים.
הגדרת מדיניות זו זמינה ב- מדיניות קבוצתית או בשירות מדיניות הענן של Office. הוא ממוקם ב- User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Security Settings\Trust Center. אם הגדרה זו זמינה, רק חתימת V3 תיחשב כחוקית כאשר Office מאמת את החתימה הדיגיטלית בקבצים. חתימות בתבנית קודמת בקבצי VBA לא ייכללו.
