Microsoft je otkrio ranjivost u potpisivanju makronaredbi programa Office Visual Basic for Applications (VBA). Ta ranjivost može zlonamjernom korisniku omogućiti neovlašteno mijenjanje potpisanog VBA projekta bez nevaljanog digitalnog potpisa. Stoga preporučujemo korisnicima primjenu sigurnosnih ažuriranja navedenih u odjeljku Slabe točke Microsoft Common i Exposures CVE-2020-0760.
Da bi poboljšao sigurnost potpisivanja vba makronaredbi sustava Office, Microsoft nudi sigurniju verziju sheme potpisa VBA projekta: V3 potpis. Potpis V3 dostupan je u sljedećim proizvodima:
-
Microsoft 365 verzija 2102 (međuverzija 16.0.13801.20266) i novije verzije trenutnog kanala
-
Količinske licencirane verzije sustava Office 2019 verzije 1808 (međuverzija 10372.20060) i novije verzije
-
Maloprodajne verzije izdanja sustava Office 2016 klikom do cilja i verzije 2102 sustava Office 2019 (međuverzija 16.0.13801.20266) i novije verzije
-
Izdanja sustava Office 2016 utemeljena na programu Microsoft Installer (.msi) koja imaju sljedeća ažuriranja ili novije verzije ažuriranja:
Preporučujemo tvrtkama ili ustanovama primjenu V3 potpisa na sve makronaredbe radi uklanjanja rizika od neovlaštenih izmjena.
Prema zadanim postavkama, da bi se osigurala kompatibilnost sa starijim verzijama, VBA datoteke koje imaju postojeće potpise i dalje će funkcionirati, a datoteke potpisane pomoću V3 potpisa mogu se otvoriti i pokrenuti u starijim verzijama sustava Office ili u klijentima sustava Office koji nisu ažurirani. No preporučujemo da administratori nadograde postojeće VBA potpise na V3 potpis što je prije moguće nakon nadogradnje sustava Office na navedene verzije. Kada administratori provjere da nema gubitka kompatibilnosti za tvrtku ili ustanovu, mogu onemogućiti stare VBA potpise omogućivanjem postavke pravilnika Samo VBA makronaredbe koje koriste V3 potpise. Dodatne informacije o toj postaci pravilnika potražite u odjeljku "Omogući postavku pravilnika: smatrajte VBA makronaredbe pouzdanima koje koriste V3 potpise".
Nadogradnja potpisanih VBA datoteka na V3 potpis
Administratori mogu koristiti sljedeće teme za nadogradnju postojećih DATOTEKA s VBA potpisima na V3 potpis.
Ponovno potpisivanje VBA datoteka pomoću VBA uređivača
Ako imate privatne certifikate, pomoću vba uređivača programa Visual Basic for Applications (Visual Basic for Applications) koji se nalazi u aplikaciji sustava Office ponovno potpišite VBA datoteke.
-
Da biste ponovno potpisali VBA datoteku, pritisnite Alt + F11 iz datoteke da biste otvorili VBA uređivač.
-
Da biste postojeći potpis zamijenili V3 potpisom, odaberite Alati > digitalni potpis. Otvorit će se dijaloški okvir Digitalni potpis.
Napomena: Da biste potpisali VBA projekt, privatni ključ mora biti ispravno instaliran. Dodatne informacije potražite u članku Digitalno potpisivanje makronaredbi.
-
Odaberite Odaberi da biste odabrali privatni ključ certifikata koji želite koristiti za potpisivanje VBA projekta, a zatim odaberite U redu.
-
Da biste generirali nove potpise, ponovno spremite datoteku. Novi digitalni potpisi zamijenit će prethodne potpise.
Ponovno potpisivanje VBA datoteka pomoću značajke SignTool
SignTool u Windows 10 SDK može vam pomoći da ponovno potpišete VBA datoteke putem naredbenog retka. Da biste stvorili ponovno potpisivanje u odnosu na popis inventara koji je naveden u odjeljku "Stvaranje inventara potpisanih VBA datoteka", SignTool možete integrirati u vlastite administratorske alate.
Napomena: SignTool trenutno ne podržava Microsoft Access.
Da biste ponovno potpisali VBA datoteke pomoću signTool, slijedite ove korake:
-
Preuzmite i instalirajte Windows 10 SDK.
-
Preuzmite Officesips.exe iz paketa sučelja predmeta sustava Microsoft Office za digitalno potpisivanje VBA projekata.
-
Da biste potpisali datoteke i potvrdili potpise u datotekama, registrirajte Msosip.dll i Msosipx.dll, a zatim pokrenite Offsign.bat. Detaljni koraci navedeni su u datoteci Readme.txt instalacijske mape sustava Officesips.exe.
Napomena: Koristite verziju x86 signTool u mapi "C:\Programske datoteke (x86)\Windows Kits\10\bin\10.0.18362.0\x86" kada pokrenete Offsign.bat.
Omogući postavku pravilnika: "Pouzdane su samo VBA makronaredbe koje koriste V3 potpise"
Kada dovršite nadogradnju na V3 potpise, preporučujemo da omogućite postavku Pravilnika Samo VBA makronaredbe koje koriste V3 potpise da biste bili sigurni da su pouzdane samo datoteke potpisane potpisom V3.
Ta je postavka pravilnika dostupna pravilnik grupe servisu za pravilnike u oblaku sustava Office. Nalazi se u odjeljku Korisnička konfiguracija\Pravilnici\Administrativni predlošci\Microsoft Office 2016\Sigurnosne postavke\Centar za pouzdanost. Ako je ta postavka omogućena, samo će se V3 potpis smatrati valjanim kada Office potvrdi valjanost digitalnog potpisa u datotekama. Potpisi u starijim formatima u VBA datotekama zanemarit će se.