Microsoft a descoperit o vulnerabilitate în semnarea proiectelor de macrocomenzi Office Visual Basic for Applications (VBA). Această vulnerabilitate poate permite unui utilizator rău intenționat să modifice un proiect VBA semnat fără a-i invalida semnătura digitală. Prin urmare, recomandăm utilizatorilor să aplice actualizările de securitate listate în Vulnerabilitățile comune Microsoft și Expuneri CVE-2020-0760.
Pentru a îmbunătăți securitatea semnării proiectelor de macrocomenzi VBA Office, Microsoft oferă o versiune mai sigură a schemei de semnături de proiect VBA: semnătura V3. Semnătura V3 este disponibilă în următoarele produse:
-
Microsoft 365, versiunea 2102 (compilarea 16.0.13801.20266) și versiunile mai recente ale canalului curent
-
Versiuni licențiate în volum de Office 2019, versiunea 1808 (compilarea 10372.20060) și versiunile mai recente
-
Versiunile comerciale ale edițiilor Clic și Pornire Office 2016 și Office 2019 versiunea 2102 (compilarea 16.0.13801.20266) și versiunile mai recente
-
Edițiile Bazate pe Microsoft Installer (.msi) de Office 2016 care au următoarele actualizări sau versiuni mai recente ale actualizărilor:
-
1 decembrie 2020, actualizare pentru Office 2016 (KB4486747)
-
Descrierea actualizării de securitate pentru Excel 2016: 8 decembrie 2020 (KB4486754)
-
Descrierea actualizării de securitate pentru PowerPoint 2016: 8 decembrie 2020 (KB4484393)
-
1 decembrie 2020, actualizare pentru Project 2016 (KB4486749)
-
1 decembrie 2020, actualizare pentru Publisher 2016 (KB4484334)
-
Descrierea actualizării de securitate pentru Office 2016: 9 martie 2021 (KB4493225)
-
Recomandăm organizațiilor să aplice semnătura V3 la toate macrocomenzile, pentru a elimina riscul de falsificare.
În mod implicit, pentru a asigura compatibilitatea inversă, fișierele VBA care au semnături existente vor continua să funcționeze, iar fișierele semnate utilizând semnătura V3 pot fi deschise și rulate în versiuni anterioare de Office sau în clienți Office ne-actualizați. Totuși, recomandăm administratorilor să facă upgrade semnăturilor VBA existente la semnătura V3 cât mai curând posibil după ce fac upgrade office la versiunile listate. După ce administratorii verifică dacă nu există nicio pierdere de compatibilitate pentru organizație, aceștia pot dezactiva semnăturile VBA vechi activând setarea de politică Se acordă încredere doar macrocomenzilor VBA care utilizează semnături V3. Pentru mai multe informații despre această setare de politică, consultați secțiunea "Activarea setării de politică: Acordați încredere doar macrocomenzilor VBA care utilizează semnături V3".
Faceți upgrade fișierelor VBA semnate la semnătura V3
Administratorii pot utiliza următoarele subiecte pentru a face upgrade fișierelor de semnături VBA existente la semnătura V3.
Utilizarea Editorului VBA pentru a semna din nou fișiere VBA
Dacă aveți certificate private, utilizați Editorul Visual Basic for Applications (VBA) furnizat într-o aplicație Office pentru a semna din nou fișierele VBA.
-
Pentru a semna din nou un fișier VBA, apăsați Alt+F11 din fișier pentru a deschide Editorul VBA.
-
Pentru a înlocui o semnătură existentă cu semnătura V3, selectați Instrumente > Semnătură digitală. Se deschide caseta de dialog Semnătură digitală.
Notă: Pentru a semna un proiect VBA, cheia privată trebuie să fie instalată corect. Pentru mai multe informații, consultați Semnarea digitală a proiectului de macrocomenzi.
-
Selectați Alegeți să alegeți cheia privată de certificat de utilizat pentru a semna proiectul VBA, apoi selectați OK.
-
Pentru a genera semnăturile noi, salvați fișierul din nou. Noile semnături digitale vor înlocui semnăturile anterioare.
Utilizarea SignTool pentru a semna din nou fișiere VBA
SignTool din Windows 10 SDK vă poate ajuta să semnați din nou fișierele VBA printr-o linie de comandă. Pentru a seta munca de resemnare pe lista de inventar identificată în secțiunea "Creați un inventar de fișiere VBA semnate", puteți integra SignTool în propriile instrumente de administrare.
Notă: În prezent, SignTool nu acceptă Microsoft Access.
Pentru a semna din nou fișiere VBA utilizând SignTool, urmați acești pași:
-
Descărcați și instalați sdk-ul Windows 10.
-
Descărcați Officesips.exe din pachetele de interfață subiect Microsoft Office pentru semnarea digitală a proiectelor VBA.
-
Pentru a semna fișiere și a verifica semnăturile din fișiere, înregistrați Msosip.dll și Msosipx.dll, apoi rulați Offsign.bat. Pașii detaliați sunt incluși în fișierul Readme.txt din folderul de instalare al Officesips.exe.
Notă: Utilizați versiunea x86 de SignTool în folderul "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" atunci când rulați Offsign.bat.
Activați setarea de politică: "Acordați încredere doar macrocomenzilor VBA care utilizează semnături V3"
După ce terminați upgrade-ul la semnăturile V3, vă recomandăm să activați setarea de politică Se acordă încredere doar macrocomenzilor VBA care utilizează semnături V3, pentru a vă asigura că sunt de încredere doar fișierele semnate cu semnătură V3.
Această setare de politică este disponibilă în Politică de grup sau în Serviciul de politici cloud pentru Office. Acesta se află în Configurație utilizator\Politici\Șabloane administrative\Microsoft Office 2016\Setări de securitate\Centru de autorizare. Dacă această setare este activată, doar semnătura V3 va fi considerată validă atunci când Office validează semnătura digitală în fișiere. Semnăturile în format anterior din fișiere VBA vor fi ignorate.