Microsoft đã phát hiện lỗ hổng bảo mật trong việc ký dự Visual Basic for Applications macro Office (VBA). Lỗ hổng này có thể cho phép người dùng độc hại giả mạo dự án VBA đã ký mà không làm mất hiệu lực chữ ký số của dự án đó. Vì vậy, chúng tôi khuyên người dùng nên áp dụng các bản cập nhật bảo mật được liệt kê trong Microsoft Common Vulnerabilities and Exposures CVE-2020-0760.
Để nâng cao tính bảo mật của việc ký dự án macro VBA của Office, Microsoft cung cấp phiên bản bảo mật hơn của lược đồ chữ ký dự án VBA: Chữ ký V3. Chữ ký V3 có sẵn trong các sản phẩm sau:
-
Microsoft 365 phiên bản 2102 (bản dựng 16.0.13801.20266) và các phiên bản mới hơn của kênh hiện tại
-
Các phiên bản cấp phép số lượng lớn của Office 2019 phiên bản 1808 (bản dựng 10372.20060) và các phiên bản mới hơn
-
Các phiên bản bán lẻ của các phiên bản Click-to-Run của Office 2016 và Office 2019 phiên bản 2102 (bản dựng 16.0.13801.20266) trở lên
-
Các phiên bản Dựa trên Microsoft Installer (.msi) của Office 2016 có các bản cập nhật sau đây hoặc các phiên bản cập nhật mới hơn:
-
Mô tả về bản cập nhật bảo mật cho Excel 2016: ngày 8 tháng 12 năm 2020 (KB4486754)
-
Mô tả về bản cập nhật bảo mật cho PowerPoint 2016: ngày 8 tháng 12 năm 2020 (KB4484393)
-
Ngày 1 tháng 12 năm 2020, bản cập nhật cho Project 2016 (KB4486749)
-
Ngày 1 tháng 12 năm 2020, bản cập nhật cho Publisher 2016 (KB4484334)
-
Bản cập nhật ngày 1 tháng 12 năm 2020 cho Visio 2016 (KB4486709)
-
Ngày 1 tháng 12 năm 2020, bản cập nhật dành Word 2016 (KB4486756)
-
Ngày 2 tháng 3 năm 2021, bản cập nhật dành cho doanh Access 2016 (KB4493188)
-
Mô tả về bản cập nhật bảo mật cho Office 2016: 09/03/2021 (KB4493225)
Chúng tôi khuyên các tổ chức nên áp dụng chữ ký V3 cho tất cả các macro để loại bỏ nguy cơ giả mạo.
Theo mặc định, để đảm bảo tính tương thích ngược, các tệp VBA có chữ ký hiện có sẽ tiếp tục hoạt động và có thể mở và chạy các tệp được ký bằng chữ ký V3 trong các phiên bản office cũ hơn hoặc trong máy khách Office không cập nhật. Tuy nhiên, chúng tôi khuyên người quản trị nên nâng cấp chữ ký VBA hiện có lên chữ ký V3 càng sớm càng tốt sau khi họ nâng cấp Office lên các phiên bản được liệt kê. Sau khi người quản trị xác minh rằng không có mất tính tương thích đối với tổ chức, họ có thể tắt chữ ký VBA cũ bằng cách bật thiết đặt chính sách Chỉ tin cậy VBA sử dụng chính sách chữ ký V3. Để biết thêm thông tin về thiết đặt chính sách này, hãy xem mục "Bật cài đặt chính sách: Chỉ tin cậy macro VBA sử dụng chữ ký V3".
Nâng cấp tệp VBA đã ký lên chữ ký V3
Người quản trị có thể sử dụng các chủ đề sau đây để nâng cấp tệp chữ ký VBA hiện có lên chữ ký V3.
Sử dụng Trình soạn thảo VBA để ký lại các tệp VBA
Nếu bạn có chứng chỉ riêng, hãy sử dụng Trình soạn thảo Visual Basic for Applications (VBA) được cung cấp trong ứng dụng Office để ký lại các tệp VBA.
-
Để ký lại tệp VBA, nhấn Alt+F11 từ bên trong tệp để mở Trình soạn thảo VBA.
-
Để thay thế chữ ký hiện có bằng chữ ký V3, hãy chọn Công cụ> chữ ký số. Hộp thoại Chữ ký Số mở ra.
Lưu ý: Để ký một dự án VBA, khóa riêng phải được cài đặt đúng cách. Để biết thêm thông tin, hãy xem Ký điện tử dự án macro của bạn.
-
Chọn Chọn để chọn khóa riêng của chứng chỉ để sử dụng để ký dự án VBA, rồi chọn OK.
-
Để tạo chữ ký mới, hãy lưu lại tệp. Chữ ký số mới sẽ thay thế các chữ ký trước đó.
Sử dụng SignTool để ký lại các tệp VBA
SignTool trong SDK Windows 10 thể giúp bạn ký lại các tệp VBA thông qua một dòng lệnh. Để thực hiện việc ký lại đối với danh sách thư mục được xác định trong mục "Tạo thư mục các tệp VBA đã ký", bạn có thể tích hợp SignTool vào công cụ quản trị của riêng mình.
Lưu ý: Hiện tại, SignTool không hỗ trợ Microsoft Access.
Để ký lại các tệp VBA bằng SignTool, hãy làm theo các bước sau:
-
Tải xuống và cài đặt Windows 10 SDK.
-
Tải xuống Officesips.exe từ Gói Giao diện Chủ đề của Microsoft Office cho Các dự án VBA Ký Điện tử.
-
Để ký tệp và xác minh chữ ký trong tệp, hãy đăng ký Msosip.dll và Msosipx.dll, rồi chạy Offsign.bat. Các bước chi tiết được bao gồm trong tệp Readme.txt trong thư mục cài đặt Officesips.exe.
Lưu ý: Sử dụng phiên bản x86 của SignTool trong thư mục "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" khi bạn chạy Offsign.bat.
Bật thiết đặt chính sách: "Chỉ tin cậy macro VBA sử dụng chữ ký V3"
Sau khi bạn hoàn tất việc nâng cấp lên chữ ký V3, chúng tôi khuyên bạn nên bật thiết đặt chính sách Chỉ tin cậy VBA sử dụng chính sách chữ ký V3 để đảm bảo rằng chỉ các tệp chữ ký V3 mới được tin cậy.
Thiết đặt chính sách này có sẵn trong chính sách nhóm hoặc Dịch vụ Chính sách Điện toán Đám mây của Office. Mẫu này nằm trong Cấu hình Người dùng\Chính sách\Mẫu Quản trị\Microsoft Office 2016\Cài đặt Bảo mật\Trung tâm Tin cậy. Nếu bật thiết đặt này, chỉ chữ ký V3 sẽ được coi là hợp lệ khi Office xác thực chữ ký số trong các tệp. Chữ ký định dạng trước đó trong các tệp VBA sẽ bị bỏ qua.