Microsoft on havainnut haavoittuvuuden Office Visual Basic for Applications (VBA) -makroprojektin allekirjoituksessa. Tämä haavoittuvuus saattaa antaa haitalliselle käyttäjälle mahdollisuuden peukaloida allekirjoitettua VBA-projektia poistamatta sen digitaalista allekirjoitusta. Siksi suosittelemme, että käyttäjät käyttävät suojauspäivityksiä, jotka on lueteltu Microsoft common vulnerabilities and Exposures CVE-2020-0760 -kohdassa.
Office VBA -makroprojektin allekirjoituksen suojauksen parantamiseksi Microsoft tarjoaa suojatumman version VBA-projektin allekirjoitusmallista: V3-allekirjoitus. V3-allekirjoitus on käytettävissä seuraavissa tuotteissa:
-
Microsoft 365:n versio 2102 (koontiversio 16.0.13801.20266) ja nykyisen kanavan uudemmat versiot
-
Office 2019:n version 1808 (koontiversio 10372.20060) ja uudempien versioiden volyymikäyttöoikeusversiot
-
Office 2016:n pika-asennusversioiden ja Office 2019-version 2102 (koontiversio 16.0.13801.20266) ja uudempien versioiden jälleenmyyntiversiot
-
Microsoft Installer (.msi) -pohjaiset Office 2016 -versiot, joissa on seuraavat päivitykset tai uudemmat päivitysversiot:
Suosittelemme, että organisaatiot käyttävät V3-allekirjoitusta kaikissa makroissa peukaloinnin riskin poistamiseksi.
Oletusarvoisesti aiempien versioiden yhteensopivuuden varmistamiseksi VBA-tiedostot, joilla on aiemmin luotuja allekirjoituksia, toimivat edelleen ja V3-allekirjoituksella allekirjoitetut tiedostot voidaan avata ja suorittaa Officen aiemmissa versioissa tai ei-päivitetyissä Office-asiakasohjelmissa. Suosittelemme kuitenkin, että järjestelmänvalvojat päivittävät olemassa olevat VBA-allekirjoitukset V3-allekirjoitukseen mahdollisimman pian sen jälkeen, kun he ovat päivittäneet Officen lueteltuihin versioihin. Kun järjestelmänvalvojat ovat varmistaneet, että yhteensopivuus ei häviä organisaatiolle, he voivat poistaa vanhat VBA-allekirjoitukset käytöstä ottamalla käyttöön Vain luotetut VBA-makrot, jotka käyttävät V3-allekirjoituskäytäntöasetusta. Lisätietoja tästä käytäntöasetuksesta on Kohdassa Ota käytäntöasetus käyttöön: Luota vain V3-allekirjoituksia käyttäviin VBA-makroihin.
Allekirjoitettujen VBA-tiedostojen päivittäminen V3-allekirjoitukseen
Järjestelmänvalvojat voivat päivittää olemassa olevat VBA-allekirjoitustiedostot V3-allekirjoitukseen seuraavien aiheiden avulla.
VBA-editorin käyttäminen VBA-tiedostojen uudelleenkirjaamiseen
Jos sinulla on yksityisiä varmenteita, käytä Office-sovelluksessa olevaa Visual Basic for Applications (VBA) Editoria VBA-tiedostojen uudelleen allekirjoittamiseen.
-
Jos haluat allekirjoittaa VBA-tiedoston uudelleen, avaa VBA-editori painamalla näppäinyhdistelmää Alt+F11 tiedoston sisällä.
-
Jos haluat korvata aiemmin luodun allekirjoituksen V3-allekirjoituksella, valitse Työkalut > Digitaalinen allekirjoitus. Digitaalinen allekirjoitus -valintaikkuna avautuu.
Huomautus: Jos haluat allekirjoittaa VBA-projektin, yksityisen avaimen on oltava asennettuna oikein. Lisätietoja on artikkelissa Makroprojektin digitaalinen allekirjoittaminen.
-
Valitse Valitse, jos haluat valita yksityisen varmenteen, jota käytetään VBA-projektin allekirjoittamiseen, ja valitse sitten OK.
-
Jos haluat luoda uudet allekirjoitukset, tallenna tiedosto uudelleen. Uudet digitaaliset allekirjoitukset korvaavat aiemmat allekirjoitukset.
VBA-tiedostojen uudelleenkirjaaminen SignToolin avulla
SignTool Windows 10 SDK:ssa voi auttaa sinua allekirjoittamaan VBA-tiedostot uudelleen komentorivin kautta. Voit yhdistää SignToolin omiin järjestelmänvalvojan työkaluihin, jos haluat siirtää uudelleenallekirjoituksen uudelleenkirjaustyön "Luo allekirjoitettujen VBA-tiedostojen inventaarion luominen" -osiossa määritettyyn inventaarioluetteloon.
Huomautus: Tällä hetkellä SignTool ei tue Microsoft Accessia.
Jos haluat allekirjoittaa VBA-tiedostot uudelleen SignToolin avulla, toimi seuraavasti:
-
Lataa ja asenna Windows 10 SDK.
-
Lataa Officesips.exe Microsoft Office Subject Interface -paketeista VBA-projektien digitaaliseen allekirjoittamiseen.
-
Jos haluat allekirjoittaa tiedostoja ja tarkistaa tiedostojen allekirjoitukset, rekisteröi Msosip.dll ja Msosipx.dll ja suorita sitten Offsign.bat. Yksityiskohtaiset ohjeet sisältyvät Readme.txt-tiedostoon Officesips.exe asennuskansiossa.
Huomautus: Käytä SignToolin x86-versiota kansiossa C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86, kun suoritat Offsign.bat.
Ota käytäntöasetus käyttöön: Luota vain V3-allekirjoituksia käyttäviin VBA-makroihin
Kun olet päivittänyt V3-allekirjoitukset, suosittelemme, että otat käyttöön Vain luotetut VBA-makrot, jotka käyttävät V3-allekirjoituskäytäntöasetusta, ja varmistat, että vain V3-allekirjoituksella allekirjoitetut tiedostot ovat luotettavia.
Tämä käytäntöasetus on käytettävissä ryhmäkäytäntö tai Officen pilvikäytäntöpalvelussa. Se sijaitsee kohdassa User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Security Settings\Trust Center. Jos tämä asetus on käytössä, vain V3-allekirjoitusta pidetään kelvollisena, kun Office vahvistaa tiedostojen digitaalisen allekirjoituksen. VBA-tiedostojen aiemman muotoilun allekirjoitukset ohitetaan.
