Microsoft telah menemukan kerentanan dalam penandatanganan proyek makro Office Visual Basic for Applications (VBA). Kerentanan ini mungkin memungkinkan pengguna jahat untuk mengutak-atik proyek VBA yang ditandatangani tanpa membatalkan tanda tangan digitalnya. Oleh karena itu, kami menyarankan agar pengguna menerapkan pembaruan keamanan yang tercantum dalam Kerentanan Umum Microsoft dan Eksposur CVE-2020-0760.
Untuk meningkatkan keamanan penandatanganan proyek makro Office VBA, Microsoft menyediakan versi yang lebih aman dari skema tanda tangan proyek VBA: Tanda tangan V3. Tanda tangan V3 tersedia dalam produk berikut ini:
-
Microsoft 365 versi 2102 (build 16.0.13801.20266) dan versi yang lebih baru dari saluran saat ini
-
Versi Office 2019 versi 1808 berlisensi volume (build 10372.20060) dan versi yang lebih baru
-
Versi ritel Office 2016 edisi Klik-untuk-Menjalankan dan Office 2019 versi 2102 (build 16.0.13801.20266) dan versi yang lebih baru
-
Office 2016 berbasis Penginstal Microsoft (.msi) yang memiliki pembaruan berikut atau versi pembaruan yang lebih baru:
Kami menyarankan agar organisasi menerapkan tanda tangan V3 ke semua makro untuk menghilangkan risiko perusakan.
Secara default, untuk memastikan kompatibilitas mundur, file VBA yang memiliki tanda tangan yang sudah ada akan terus berfungsi, dan file yang ditandatangani dengan menggunakan tanda tangan V3 dapat dibuka dan dijalankan di versi Office yang lebih lama atau di klien Office yang tidak diperbarui. Namun, kami menyarankan agar admin memutakhirkan tanda tangan VBA yang sudah ada ke tanda tangan V3 sesegera mungkin setelah mereka memutakhirkan Office ke versi yang tercantum. Setelah admin memverifikasi bahwa tidak ada kehilangan kompatibilitas untuk organisasi, mereka bisa menonaktifkan tanda tangan VBA lama dengan mengaktifkan pengaturan kebijakan Hanya percayai makro VBA yang menggunakan tanda tangan V3. Untuk informasi selengkapnya tentang pengaturan kebijakan ini, lihat bagian "Aktifkan pengaturan kebijakan: Hanya percayai makro VBA yang menggunakan tanda tangan V3".
Memutakhirkan file VBA yang ditandatangani ke tanda tangan V3
Admin dapat menggunakan topik berikut ini untuk memutakhirkan file tanda tangan VBA yang sudah ada ke tanda tangan V3.
Menggunakan VBA Editor untuk menandatangani ulang file VBA
Jika Anda memiliki sertifikat privat, gunakan Editor Visual Basic for Applications (VBA) yang disediakan dalam aplikasi Office untuk menandatangani kembali file VBA.
-
Untuk menandatangani kembali file VBA, tekan Alt+F11 dari dalam file untuk membuka Editor VBA.
-
Untuk mengganti tanda tangan yang sudah ada dengan tanda tangan V3, pilih Alat > Tanda Tangan Digital. Kotak dialog Tanda Tangan Digital akan terbuka.
Catatan: Untuk menandatangani proyek VBA, kunci privat harus diinstal dengan benar. Untuk informasi selengkapnya, lihat Menandatangani proyek makro Anda secara digital.
-
Pilih Pilih untuk memilih kunci privat sertifikat yang akan digunakan untuk menandatangani proyek VBA, lalu pilih OK.
-
Untuk menghasilkan tanda tangan baru, simpan kembali file. Tanda tangan digital baru akan menggantikan tanda tangan sebelumnya.
Menggunakan SignTool untuk menandatangani ulang file VBA
SignTool di SDK Windows 10 dapat membantu Anda menandatangani kembali file VBA melalui baris perintah. Untuk membuat kumpulan pekerjaan penandatanganan ulang terhadap daftar inventori yang diidentifikasi di bagian "Membuat inventarsi file VBA yang ditandatangani", Anda dapat mengintegrasikan SignTool ke alat admin Anda sendiri.
Catatan: Saat ini, SignTool tidak mendukung Microsoft Access.
Untuk menandatangani ulang file VBA menggunakan SignTool, ikuti langkah-langkah berikut:
-
Unduh dan instal SDK Windows 10.
-
Unduh Officesips.exe dari Paket Antarmuka Subjek Microsoft Office untuk Proyek VBA Penandatanganan Digital.
-
Untuk menandatangani file dan memverifikasi tanda tangan dalam file, daftarkan Msosip.dll dan Msosipx.dll, lalu jalankan Offsign.bat. Langkah-langkah mendetail disertakan dalam file Readme.txt dalam folder penginstalan Officesips.exe.
Catatan: Gunakan SignTool versi x86 dalam folder "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" saat Anda menjalankan Offsign.bat.
Aktifkan pengaturan kebijakan: "Hanya percayai makro VBA yang menggunakan tanda tangan V3"
Setelah menyelesaikan pemutakhiran ke tanda tangan V3, kami menyarankan agar Anda mengaktifkan pengaturan Kebijakan hanya percayai makro VBA yang menggunakan kebijakan tanda tangan V3 untuk memastikan bahwa hanya file bertanda tangan V3 yang tepercaya.
Pengaturan kebijakan ini tersedia di Kebijakan Grup atau Layanan Kebijakan Awan Office. Ini terletak di User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Security Settings\Trust Center. Jika pengaturan ini diaktifkan, hanya tanda tangan V3 yang akan dianggap valid ketika Office memvalidasi tanda tangan digital dalam file. Tanda tangan format sebelumnya dalam file VBA akan diabaikan.
