Microsoft har upptäckt en säkerhetsrisk i signeringen av makroprojekt i Office Visual Basic for Applications (VBA). Den här säkerhetsrisken kan göra det möjligt för en illvillig användare att manipulera ett signerat VBA-projekt utan att den digitala signaturen blir ogiltig. Därför rekommenderar vi att användarna tillämpar de säkerhetsuppdateringar som listas i Microsofts vanliga sårbarheter och exponeringar CVE-2020-0760.
För att förbättra säkerheten för signering av Office VBA-makroprojekt tillhandahåller Microsoft en säkrare version av VBA-projektsignaturschema: V3-signatur. V3-signaturen är tillgänglig i följande produkter:
-
Microsoft 365 version 2102 (version 16.0.13801.20266) och senare versioner av den aktuella kanalen
-
Volymlicensierade versioner av Office 2019 version 1808 (version 10372.20060) och senare versioner
-
Återförsäljarversioner av Office 2016 Klicka-och-kör-utgåvor och Office 2019 version 2102 (version 16.0.13801.20266) och senare versioner
-
Microsoft Installer(.msi)-baserade utgåvor av Office 2016 som har följande uppdateringar eller senare versioner av uppdateringar:
Vi rekommenderar att organisationer tillämpar V3-signaturen på alla makron för att eliminera risken för manipulering.
För att säkerställa bakåtkompatibilitet fungerar VBA-filer som har befintliga signaturer som standard, och filer som är signerade med V3-signaturen kan öppnas och köras i tidigare versioner av Office eller i icke-uppdaterade Office-klienter. Vi rekommenderar dock att administratörer uppgraderar de befintliga VBA-signaturerna till V3-signaturen så snart som möjligt efter att de uppgraderat Office till de angivna versionerna. När administratörer har kontrollerat att organisationen inte har någon kompatibilitetsförlust kan de inaktivera de gamla VBA-signaturerna genom att aktivera principinställningen Endast betrodda VBA-makron som använder V3-signaturer. Mer information om den här principinställningen finns i avsnittet Aktivera principinställning: Lita bara på VBA-makron som använder V3-signaturer.
Uppgradera signerade VBA-filer till V3-signaturen
Administratörer kan använda följande avsnitt för att uppgradera befintliga VBA-signaturfiler till V3-signaturen.
Använda VBA-redigeraren för att signera om VBA-filer
Om du har privata certifikat använder du VBA-redigeraren (Visual Basic for Applications) som finns i ett Office-program för att signera om VBA-filerna.
-
Om du vill signera om en VBA-fil trycker du på Alt+F11 inifrån filen för att öppna VBA-redigeraren.
-
Om du vill ersätta en befintlig signatur med V3-signaturen väljer du Verktyg > digital signatur. Dialogrutan Digital signatur öppnas.
Obs!: Om du vill signera ett VBA-projekt måste den privata nyckeln vara korrekt installerad. Mer information finns i Signera makroprojektet digitalt.
-
Välj Välj för att välja den privata certifikatnyckeln som ska användas för att signera VBA-projektet och välj sedan OK.
-
Spara filen igen om du vill generera de nya signaturerna. De nya digitala signaturerna ersätter de tidigare signaturerna.
Använda SignTool för att signera om VBA-filer
SignTool i Windows 10 SDK kan hjälpa dig att signera om VBA-filerna via en kommandorad. Om du vill batcha om signeringsarbetet mot lagerlistan som identifieras i avsnittet "Skapa en inventering av signerade VBA-filer" kan du integrera SignTool i dina egna administrationsverktyg.
Obs!: SignTool stöder för närvarande inte Microsoft Access.
Följ de här stegen om du vill signera om VBA-filer med SignTool:
-
Ladda ned och installera Windows 10 SDK.
-
Ladda ned Officesips.exe från Microsoft Office Subject Interface-paket för digitalt signering av VBA-projekt.
-
Om du vill signera filer och verifiera signaturerna i filer registrerar du Msosip.dll och Msosipx.dll och kör sedan Offsign.bat. De detaljerade stegen ingår i den Readme.txt filen i installationsmappen för Officesips.exe.
Obs!: Använd x86-versionen av SignTool i mappen "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" när du kör Offsign.bat.
Aktivera principinställning: "Endast betrodda VBA-makron som använder V3-signaturer"
När du har slutfört uppgraderingen till V3-signaturerna rekommenderar vi att du aktiverar principinställningen Lita endast på VBA-makron som använder principinställningen V3-signaturer för att se till att endast V3-signatursignerade filer är betrodda.
Den här principinställningen är tillgänglig i grupprincip eller Office Molnprinciptjänst. Den finns i Användarkonfiguration\Principer\Administrativa mallar\Microsoft Office 2016\Säkerhetsinställningar\Säkerhetscenter. Om den här inställningen är aktiverad betraktas endast V3-signaturen som giltig när Office verifierar den digitala signaturen i filer. Tidigare signaturer i VBA-filer ignoreras.