Корпорация Майкрософт обнаружила уязвимость в подписывание проекта макроса Office Visual Basic для приложений (VBA). Эта уязвимость может позволить злоумышленнику изменить подписанный проект VBA, не лишая его цифровой подписи. Поэтому рекомендуется, чтобы пользователи применяли обновления для системы безопасности, перечисленные в разделе Распространенные уязвимости и уязвимости Майкрософт CVE-2020-0760.
Чтобы повысить безопасность подписывания проекта макросов Office VBA, корпорация Майкрософт предоставляет более безопасную версию схемы подписи проекта VBA: сигнатуру версии 3. Подпись версии 3 доступна в следующих продуктах:
-
Microsoft 365 версии 2102 (сборка 16.0.13801.20266) и более поздних версий текущего канала
-
Корпоративные версии Office 2019 версии 1808 (сборка 10372.20060) и более поздние версии
-
Розничные версии выпусков Office 2016 "нажми и запускай" и Office 2019 версии 2102 (сборка 16.0.13801.20266) и более поздних версий
-
Microsoft Installer (.msi)на основе выпусков Office 2016, которые имеют следующие или более поздние версии обновлений:
-
Описание обновления для системы безопасности для Excel 2016: 8 декабря 2020 г. (KB4486754)
-
Описание обновления для системы безопасности для PowerPoint 2016: 8 декабря 2020 г. (KB4484393)
-
1 декабря 2020 г., обновление для Publisher 2016 (KB4484334)
-
Описание обновления для системы безопасности Для Office 2016: 9 марта 2021 г. (KB4493225)
Рекомендуется, чтобы организации применяли подпись версии 3 ко всем макросам, чтобы исключить риск незаконного изменения.
По умолчанию для обеспечения обратной совместимости файлы VBA с существующими сигнатурами будут продолжать работать, а файлы, подписанные с помощью подписи версии 3, можно открывать и запускать в более ранних версиях Office или в необновлённых клиентах Office. Однако мы рекомендуем администраторам как можно скорее обновить существующие подписи VBA до подписи версии 3 после обновления Office до перечисленных версий. После того как администраторы проверят отсутствие потери совместимости в организации, они могут отключить старые подписи VBA, включив параметр политики Только макросы доверия VBA, использующие подписи версии 3. Дополнительные сведения об этом параметре политики см. в разделе "Включить параметр политики: доверять только макросам VBA, которые используют сигнатуры версии 3".
Обновление подписанных файлов VBA до сигнатуры версии 3
Администраторы могут использовать следующие разделы для обновления существующих файлов подписей VBA до подписи версии 3.
Использование редактора VBA для повторной подписи файлов VBA
Если у вас есть частные сертификаты, используйте редактор Visual Basic для приложений (VBA), предоставленный в приложении Office, чтобы повторно подписать файлы VBA.
-
Чтобы повторно подписать файл VBA, нажмите клавиши ALT+F11 в файле, чтобы открыть редактор VBA.
-
Чтобы заменить существующую подпись подписью версии 3, выберите Сервис > цифровая подпись. Откроется диалоговое окно Цифровая подпись.
Примечание: Чтобы подписать проект VBA, закрытый ключ должен быть правильно установлен. Дополнительные сведения см. в разделе Цифровая подпись проекта макроса.
-
Выберите Выбрать, чтобы выбрать закрытый ключ сертификата для подписи проекта VBA, а затем нажмите кнопку ОК.
-
Чтобы создать новые подписи, сохраните файл еще раз. Новые цифровые подписи заменят предыдущие подписи.
Использование SignTool для повторной подписи файлов VBA
SignTool в пакете SDK для Windows 10 поможет повторно подписать файлы VBA с помощью командной строки. Для пакетной повторной подписи в списке инвентаризации, который указан в разделе "Создание инвентаризации подписанных файлов VBA", вы можете интегрировать SignTool в собственные средства администрирования.
Примечание: В настоящее время SignTool не поддерживает Microsoft Access.
Чтобы повторно подписать файлы VBA с помощью SignTool, выполните следующие действия.
-
Скачайте и установите пакет SDK для Windows 10.
-
Скачайте Officesips.exe из пакета интерфейса субъекта Microsoft Office для проектов VBA с цифровой подписью.
-
Чтобы подписать файлы и проверить подписи в файлах, зарегистрируйте Msosip.dll и Msosipx.dll, а затем запустите Offsign.bat. Подробные инструкции включены в файл Readme.txt в папке установки Officesips.exe.
Примечание: При запуске Offsign.bat используйте x86-версию SignTool в папке "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86".
Включить параметр политики: "Доверять только макросам VBA, которые используют подписи версии 3"
После завершения обновления до подписей версии 3 рекомендуется включить параметр политики Только доверять макросам VBA, которые используют подписи версии 3, чтобы убедиться, что доверенными являются только файлы с подписью версии 3.
Этот параметр политики доступен в групповая политика или службе облачной политики Office. Он находится в разделе Конфигурация пользователя\Политики\Административные шаблоны\Microsoft Office 2016\Параметры безопасности\Центр управления безопасностью. Если этот параметр включен, при проверке цифровой подписи в файлах Office будет считаться допустимой только подпись версии 3. Подписанные ранее подписи в файлах VBA будут игнорироваться.
