Microsoft heeft een beveiligingsprobleem ontdekt in office visual basic for applications (VBA) macroprojectondertekening. Dit beveiligingsprobleem kan een kwaadwillende gebruiker in staat stellen om te knoeien met een ondertekend VBA-project zonder de digitale handtekening te ongeldig te maken. Daarom raden we gebruikers aan de beveiligingsupdates toe te passen die worden vermeld in Microsoft Common Vulnerabilities and Exposures CVE-2020-0760.
Om de beveiliging van de Office VBA-macroprojectondertekening te verbeteren, biedt Microsoft een veiligere versie van het VBA-projecthandtekeningschema: V3-handtekening. De V3-handtekening is beschikbaar in de volgende producten:
-
Microsoft 365 versie 2102 (build 16.0.13801.20266) en latere versies van het huidige kanaal
-
Versies met volumelicentie van Office 2019 versie 1808 (build 10372.20060) en latere versies
-
Retailversies van Office 2016 Klik-en-Klaar-edities en Office 2019 versie 2102 (build 16.0.13801.20266) en latere versies
-
Op Microsoft Installer (.msi) gebaseerde edities van Office 2016 met de volgende updates of latere versies van updates:
We raden organisaties aan de V3-handtekening toe te passen op alle macro's om het risico van manipulatie te elimineren.
Om compatibiliteit met eerdere versies te garanderen, blijven VBA-bestanden met bestaande handtekeningen standaard werken en kunnen bestanden die zijn ondertekend met de V3-handtekening, worden geopend en uitgevoerd in eerdere versies van Office of in niet-bijgewerkte Office-clients. Het is echter raadzaam dat beheerders de bestaande VBA-handtekeningen zo snel mogelijk upgraden naar de V3-handtekening nadat ze Office hebben bijgewerkt naar de vermelde versies. Nadat beheerders hebben gecontroleerd of er geen compatibiliteitsverlies is voor de organisatie, kunnen ze de oude VBA-handtekeningen uitschakelen door de beleidsinstelling Alleen VBA-macro's vertrouwen die gebruikmaken van V3-handtekeningen in te schakelen. Zie de sectie 'Beleidsinstelling inschakelen: alleen VBA-macro's vertrouwen die gebruikmaken van V3-handtekeningen' voor meer informatie over deze beleidsinstelling.
Ondertekende VBA-bestanden upgraden naar de V3-handtekening
Beheerders kunnen de volgende onderwerpen gebruiken om bestaande VBA-handtekeningbestanden te upgraden naar de V3-handtekening.
VBA-editor gebruiken om VBA-bestanden opnieuw te ondertekenen
Als u persoonlijke certificaten hebt, gebruikt u de VBA-editor (Visual Basic for Applications) die wordt geleverd in een Office-toepassing om de VBA-bestanden opnieuw te ondertekenen.
-
Als u een VBA-bestand opnieuw wilt ondertekenen, drukt u vanuit het bestand op Alt+F11 om de VBA-editor te openen.
-
Als u een bestaande handtekening wilt vervangen door de V3-handtekening, selecteert u Extra > Digitale handtekening. Het dialoogvenster Digitale handtekening wordt geopend.
Opmerking: Als u een VBA-project wilt ondertekenen, moet de persoonlijke sleutel correct zijn geïnstalleerd. Zie Uw macroproject digitaal ondertekenen voor meer informatie.
-
Selecteer Kiezen om de persoonlijke sleutel van het certificaat te kiezen die moet worden gebruikt om het VBA-project te ondertekenen en selecteer vervolgens OK.
-
Sla het bestand opnieuw op om de nieuwe handtekeningen te genereren. De nieuwe digitale handtekeningen vervangen de vorige handtekeningen.
SignTool gebruiken om VBA-bestanden opnieuw te ondertekenen
SignTool in de Windows 10 SDK kan u helpen de VBA-bestanden opnieuw te ondertekenen via een opdrachtregel. U kunt SignTool integreren in uw eigen beheerhulpprogramma's om het werk voor opnieuw ondertekenen te batcheren op basis van de inventarislijst die is geïdentificeerd in de sectie 'Een inventaris van ondertekende VBA-bestanden maken'.
Opmerking: Momenteel biedt SignTool geen ondersteuning voor Microsoft Access.
Voer de volgende stappen uit om VBA-bestanden opnieuw te ondertekenen met behulp van SignTool:
-
Download en installeer de Windows 10 SDK.
-
Download Officesips.exe van Microsoft Office-onderwerpinterfacepakketten voor digitaal ondertekenende VBA-projecten.
-
Als u bestanden wilt ondertekenen en de handtekeningen in bestanden wilt controleren, registreert u Msosip.dll en Msosipx.dll en voert u vervolgens Offsign.bat uit. De gedetailleerde stappen zijn opgenomen in het Readme.txt-bestand in de installatiemap van Officesips.exe.
Opmerking: Gebruik de x86-versie van SignTool in de map C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86 wanneer u Offsign.bat uitvoert.
Beleidsinstelling inschakelen: 'Alleen VBA-macro's vertrouwen die gebruikmaken van V3-handtekeningen'
Nadat u de upgrade naar de V3-handtekeningen hebt voltooid, raden we u aan de beleidsinstelling Alleen VBA-macro's vertrouwen die gebruikmaken van V3-handtekeningen in te schakelen om ervoor te zorgen dat alleen door V3 ondertekende bestanden worden vertrouwd.
Deze beleidsinstelling is beschikbaar in groepsbeleid of de Office-cloudbeleidsservice. Deze bevindt zich in Gebruikersconfiguratie\Beleid\Beheersjablonen\Microsoft Office 2016\Beveiligingsinstellingen\Vertrouwenscentrum. Als deze instelling is ingeschakeld, wordt alleen de V3-handtekening als geldig beschouwd wanneer Office de digitale handtekening in bestanden valideert. Eerdere handtekeningen in VBA-bestanden worden genegeerd.