Microsoft hat eine Sicherheitslücke in Office Visual Basic for Applications (VBA) bei der Signierung von Makroprojekten entdeckt. Diese Sicherheitslücke könnte es einem böswilligen Benutzer*innen ermöglichen, ein signiertes VBA-Projekt zu manipulieren, ohne dessen digitale Signatur ungültig zu machen. Wir empfehlen daher, dass Benutzer*innen die Sicherheitsupdates anwenden, die in Microsoft Common Vulnerabilities and Exposures CVE-2020-0760 aufgeführt sind.
Um die Sicherheit der Signatur von Office VBA-Makroprojekten zu erhöhen, bietet Microsoft eine sicherere Version des Signaturschemas für VBA-Projekte an: V3-Signatur. Die V3-Signatur ist in den folgenden Produkten verfügbar:
-
Microsoft 365, Version 2102 (Build 16.0.13801.20266) und höher Versionen des aktuellen Kanals
-
Volumenlizenzversionen von Office 2019, Version 1808 (Build 10372.20060) und höher
-
Einzelhandelsversionen von Office 2016 Klick-und-Los-Editionen und Office 2019, Version 2102 (Build 16.0.13801.20266) und höher
-
Microsoft Installer(MSI)-basierte Editionen von Office 2016, die über die folgenden Updates oder neuere Versionen der Updates verfügen:
Es wird empfohlen, dass Organisationen die V3-Signatur auf alle Makros anwenden, um das Risiko von Manipulationen zu vermeiden.
Um die Abwärtskompatibilität zu gewährleisten, funktionieren VBA-Dateien standardmäßig mit vorhandenen Signaturen weiterhin, und Dateien, die mit der V3-Signatur verwendet werden, können in früheren Versionen von Office oder in nicht aktualisierten Office-Clients geöffnet und ausgeführt werden. Wir empfehlen jedoch, dass Administratoren die vorhandenen VBA-Signaturen so schnell wie möglich auf die V3-Signatur aktualisieren, nachdem sie Office auf die aufgeführten Versionen aktualisiert haben. Nachdem die Administratoren überprüft haben, dass die Organisation keine Kompatibilitätsverluste erleidet, können sie die alten VBA-Signaturen deaktivieren, indem sie die Richtlinieneinstellung Nur VBA-Makros vertrauen, die V3-Signaturen verwenden aktivieren. Weitere Informationen zu dieser Richtlinieneinstellung finden Sie im Abschnitt „Richtlinieneinstellung aktivieren: Nur VBA-Makros vertrauen, die V3-Signaturen verwenden“.
Upgrade signierter VBA-Dateien auf die V3-Signatur
Administratoren können die folgenden Themen verwenden, um vorhandene VBA-Signaturendateien auf die V3-Signatur zu aktualisieren.
Erneutes Signieren von VBA-Dateien mithilfe des VBA-Editors
Wenn Sie über private Zertifikate verfügen, verwenden Sie den Visual Basic for Applications(VBA)-Editor, der in einer Office-Anwendung bereitgestellt wird, um die VBA-Dateien erneut zu signieren.
-
Um eine VBA-Datei erneut zu signieren, drücken Sie bei geöffneter Datei ALT+F11, um den VBA-Editor zu öffnen.
-
Um eine bestehende Signatur durch die V3-Signatur zu ersetzen, wählen Sie Tools > Digitale Signatur. Das Dialogfeld Digitale Signatur wird geöffnet.
Hinweis: Um ein VBA-Projekt zu signieren, muss der private Schlüssel korrekt installiert sein. Weitere Informationen finden Sie unter Digitales Signieren Ihres Makroprojekts.
-
Wählen Sie Auswählen aus, um den privaten Zertifikatschlüssel auszuwählen, der zum Signieren des VBA-Projekts verwendet werden soll, und wählen Sie dann OK aus.
-
Um die neuen Signaturen zu generieren, speichern Sie die Datei erneut. Die neuen digitalen Signaturen werden die bisherigen Signaturen ersetzen.
Erneutes Signieren von VBA-Dateien mithilfe von SignTool
SignTool im Microsoft Windows SDK kann Ihnen helfen, die VBA-Dateien über eine Befehlszeile neu zu signieren. Um das erneute Signieren anhand der Inventarliste, die im Abschnitt „Erstellen eines Inventars signierter VBA-Dateien“ identifiziert wurde, im Batch-Verfahren durchzuführen, können Sie SignTool in Ihre eigenen Admin-Tools integrieren.
Hinweis: Derzeit wird SignTool von Microsoft Access nicht unterstützt.
Führen Sie die folgenden Schritte aus, um VBA-Dateien mithilfe von SignTool erneut zu signieren:
-
Laden Sie das Microsoft Windows SDK herunter und installieren Sie es.
-
Laden Sie Officesips.exe von Microsoft Office Subject Interface Packages zum digitalen Signieren von VBA-Projekten herunter
-
Um Dateien zu signieren und die Signaturen in Dateien zu überprüfen, registrieren Sie Msosip.dll und Msosipx.dll und führen dann Offsign.bat aus. Die detaillierten Schritte sind in der Datei Readme.txt im Installationsordner von Officesips.exe enthalten.
Hinweis: Verwenden Sie die x86-Version von SignTool im Ordner „C:\Programme (x86)\Windows Kits\10\bin\10.0.18362.0\x86“, wenn Sie „Offsign.bat“ ausführen.
Richtlinieneinstellung aktivieren: „Nur VBA-Makros vertrauen, die V3-Signaturen verwenden“
Nachdem Sie das Upgrade auf die V3-Signaturen abgeschlossen haben, empfiehlt es sich, die Richtlinieneinstellung Nur VBA-Makros vertrauen, die V3-Signaturen verwenden zu aktivieren, um sicherzustellen, dass nur V3-signierte Dateien als vertrauenswürdig eingestuft werden.
Diese Richtlinieneinstellung ist in der Gruppenrichtlinie oder dem Office Cloud Policy Service verfügbar. Es befindet sich im Bereich User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Security Settings\Trust Center. Wenn diese Einstellung aktiviert ist, wird nur die V3-Signatur als gültig angesehen, wenn Office die digitale Signatur in Dateien überprüft. Signaturen in VBA-Dateien, die ein früheres Format haben, werden ignoriert.
