Microsoft ha rilevato una vulnerabilità nella firma di un progetto macro di Office Visual Basic, Applications Edition (VBA). Questa vulnerabilità potrebbe consentire a un utente malintenzionato di manomettere un progetto VBA firmato senza invalidare la firma digitale. Pertanto, è consigliabile che gli utenti applichino gli aggiornamenti della sicurezza elencati in Microsoft Common Vulnerabilities and Exposures CVE-2020-0760.
Per migliorare la sicurezza della firma del progetto macro VBA di Office, Microsoft offre una versione più sicura dello schema di firma del progetto VBA: firma V3. La firma V3 è disponibile nei prodotti seguenti:
-
Microsoft 365 versione 2102 (build 16.0.13801.20266) e versioni successive del canale corrente
-
Versioni con contratto multi licenza di Office 2019 versione 1808 (build 10372.20060) e versioni successive
-
Versioni finali di Office 2016 edizioni A portata di clic e Office 2019 versione 2102 (build 16.0.13801.20266) e versioni successive
-
Edizioni basate su Microsoft Installer (.msi) di Office 2016 con gli aggiornamenti seguenti o versioni successive:
-
Aggiornamento del 1° dicembre 2020 per Office 2016 (KB4486747)
-
Descrizione dell'aggiornamento della sicurezza per Excel 2016: 8 dicembre 2020 (KB4486754)
-
Descrizione dell'aggiornamento della sicurezza per PowerPoint 2016: 8 dicembre 2020 (KB4484393)
-
Aggiornamento del 1° dicembre 2020 per Project 2016 (KB4486749)
-
Aggiornamento del 1° dicembre 2020 per Publisher 2016 (KB4484334)
-
Aggiornamento del 1° dicembre 2020 per Visio 2016 (KB4486709)
-
Aggiornamento del 1° dicembre 2020 per Word 2016 (KB4486756)
-
Descrizione dell'aggiornamento della sicurezza per Office 2016: 9 marzo 2021 (KB4493225)
-
È consigliabile che le organizzazioni applichino la firma V3 a tutte le macro per eliminare il rischio di manomissione.
Per impostazione predefinita, per garantire la compatibilità con le versioni precedenti, i file VBA con firme esistenti continueranno a funzionare e i file firmati con la firma V3 possono essere aperti ed eseguiti nelle versioni precedenti di Office o nei client di Office non aggiornati. Tuttavia, è consigliabile che gli amministratori aggiornino le firme VBA esistenti alla firma V3 non appena possibile dopo l'aggiornamento di Office alle versioni elencate. Dopo che gli amministratori hanno verificato che non ci sono perdite di compatibilità per l'organizzazione, possono disabilitare le vecchie firme VBA abilitando l'impostazione dei criteri Considera attendibili solo le macro VBA che usano le firme V3. Per altre informazioni su questa impostazione dei criteri, vedere la sezione "Abilitare l'impostazione dei criteri: considera attendibili solo le macro VBA che usano firme V3".
Aggiornare i file VBA firmati alla firma V3
Gli amministratori possono usare gli argomenti seguenti per aggiornare i file delle firme VBA esistenti alla firma V3.
Usare VBA Editor per firmare di nuovo i file VBA
Se si hanno certificati privati, usare l'editor di Visual Basic, Applications Edition (VBA) fornito in un'applicazione di Office per firmare di nuovo i file VBA.
-
Per firmare di nuovo un file VBA, premere ALT+F11 dall'interno del file per aprire l'editor VBA.
-
Per sostituire una firma esistente con la firma V3, selezionare Strumenti > Firma digitale. Si apre la finestra di dialogo Firma digitale.
Nota: Per firmare un progetto VBA, la chiave privata deve essere installata correttamente. Per altre informazioni, vedere Firmare digitalmente il progetto macro.
-
Selezionare Scegli per scegliere la chiave privata del certificato da usare per firmare il progetto VBA e quindi scegliere OK.
-
Per generare le nuove firme, salvare di nuovo il file. Le nuove firme digitali sostituiranno le firme precedenti.
Usare SignTool per firmare di nuovo i file VBA
SignTool in Windows 10 SDK consente di firmare nuovamente i file VBA tramite una riga di comando. Per eseguire in batch il lavoro di rifirma nell'elenco dell'inventario identificato nella sezione "Creare un inventario di file VBA firmati", è possibile integrare SignTool nei propri strumenti di amministrazione.
Nota: Attualmente, SignTool non supporta Microsoft Access.
Per firmare di nuovo i file VBA con SignTool, seguire questa procedura:
-
Scaricare e installare Windows 10 SDK.
-
Scaricare Officesips.exe da Pacchetti di interfaccia oggetto di Microsoft Office per la firma digitale di progetti VBA.
-
Per firmare i file e verificare le firme nei file, registrare Msosip.dll e Msosipx.dll, quindi eseguire Offsign.bat. I passaggi dettagliati sono inclusi nel file Readme.txt nella cartella di installazione di Officesips.exe.
Nota: Usare la versione x86 di SignTool nella cartella "C:\Programmi (x86)\Windows Kits\10\bin\10.0.18362.0\x86" quando si esegue Offsign.bat.
Abilitare l'impostazione dei criteri: "Considera attendibili solo le macro VBA che usano firme V3"
Dopo aver completato l'aggiornamento alle firme V3, è consigliabile abilitare l'impostazione dei criteri Considera attendibili solo le macro VBA che usano i criteri Firme V3 per assicurarsi che solo i file firmati con firma V3 siano attendibili.
Questa impostazione dei criteri è disponibile in Criteri di gruppo o nel servizio Criteri cloud di Office. Si trova in Configurazione utente\Criteri\Modelli amministrativi\Microsoft Office 2016\Impostazioni di sicurezza\Centro protezione. Se questa impostazione è abilitata, solo la firma V3 verrà considerata valida quando Office convalida la firma digitale nei file. Le firme in formato precedente nei file VBA verranno ignorate.
