A Microsoft biztonsági rést észlelt az Office Visual Basic for Applications (VBA) makróprojekt-aláírásában. Ez a biztonsági rés lehetővé teheti, hogy egy rosszindulatú felhasználó illetéktelenül illetéktelenül módosíthasson egy aláírt VBA-projektet anélkül, hogy érvénytelenné tenné a digitális aláírását. Ezért azt javasoljuk, hogy a felhasználók alkalmazzák a Microsoft Gyakori biztonsági rések és kitettségek CVE-2020-0760 című témakörben felsorolt biztonsági frissítéseket.
Az Office VBA-makróprojekt-aláírás biztonságának növelése érdekében a Microsoft a VBA-projektaláírási séma biztonságosabb verzióját biztosítja: V3-aláírás. A V3 aláírás a következő termékekben érhető el:
-
A Microsoft 365 2102-es verziója (16.0.13801.20266-os build) és az aktuális csatorna újabb verziói
-
Az Office 2019 1808-es (10372.20060-es build) és újabb verzióinak mennyiségi licenccel rendelkező verziói
-
Az Office 2016 Kattintásra kiadásainak és az Office 2019 2102-es verziójának (16.0.13801.20266-os build) és újabb verzióinak kereskedelmi verziói
-
Az Office 2016 Microsoft Installer (.msi)-alapú kiadásai, amelyek a következő frissítésekkel vagy a frissítések újabb verzióival rendelkeznek:
Javasoljuk, hogy a szervezetek alkalmazzák a V3-aláírást az összes makróra, hogy kiküszöböljék az illetéktelen módosítás kockázatát.
Alapértelmezés szerint a visszamenőleges kompatibilitás biztosítása érdekében a meglévő aláírásokkal rendelkező VBA-fájlok továbbra is működni fognak, és a V3 aláírással aláírt fájlok megnyithatók és futtathatók az Office korábbi verzióiban vagy nem frissített Office-ügyfeleken. Azt javasoljuk azonban, hogy a rendszergazdák a lehető leghamarabb frissítsenek a meglévő VBA-aláírásokra a V3-aláírásra, miután frissítették az Office-t a felsorolt verziókra. Miután a rendszergazdák meggyőződtek arról, hogy nincs kompatibilitási veszteség a szervezet számára, letilthatják a régi VBA-aláírásokat a Csak megbízható VBA-makrók engedélyezése révén, amelyek V3-aláírásokat használnak. További információ erről a házirend-beállításról: "Házirend-beállítás engedélyezése: Csak V3-aláírásokat használó VBA-makrók megbízhatók" című szakasz.
Aláírt VBA-fájlok frissítése a V3-aláírásra
A rendszergazdák az alábbi témakörök segítségével frissíthetik a meglévő VBA-aláírásfájlokat a V3-aláírásra.
VBA-fájlok újbóli aláírása a VBA-szerkesztő használatával
Ha privát tanúsítványokkal rendelkezik, használja az Office-alkalmazásokban megadott Visual Basic for Applications (VBA) szerkesztőt a VBA-fájlok újbóli aláírásához.
-
VBA-fájl újbóli aláírásához nyomja le az Alt+F11 billentyűkombinációt a fájlból a VBA-szerkesztő megnyitásához.
-
Ha egy meglévő aláírást a V3-aláírásra szeretne cserélni, válassza az Eszközök > Digitális aláírás lehetőséget. Megnyílik a Digitális aláírás párbeszédpanel.
Megjegyzés: VBA-projekt aláírásához a titkos kulcsot megfelelően kell telepíteni. További információ: Makróprojekt digitális aláírása.
-
Válassza a Kiválasztás lehetőséget a VBA-projekt aláírásához használandó titkos tanúsítványkulcs kiválasztásához, majd kattintson az OK gombra.
-
Az új aláírások létrehozásához mentse újra a fájlt. Az új digitális aláírások lecserélik a korábbi aláírásokat.
VBA-fájlok újbóli aláírása a SignTool használatával
A Windows 10 SDK-ban található SignTool segítségével újra aláírhatja a VBA-fájlokat egy parancssoron keresztül. Ha az újraaláírási munkát az "Aláírt VBA-fájlok leltárának létrehozása" szakaszban azonosított leltárlistára szeretné kötegálni, integrálhatja a SignTool-t a saját felügyeleti eszközeibe.
Megjegyzés: A SignTool jelenleg nem támogatja a Microsoft Accesst.
A VBA-fájlok SignTool használatával történő újbóli aláírásához kövesse az alábbi lépéseket:
-
Töltse le és telepítse a Windows 10 SDK-t.
-
Töltse le Officesips.exe a Microsoft Office subject Interface Packages for Digitally Signing VBA Projects csomagból.
-
A fájlok aláírásához és a fájlokban lévő aláírások ellenőrzéséhez regisztrálja Msosip.dll és Msosipx.dll, majd futtassa a Offsign.bat. A részletes lépéseket a Readme.txt fájl tartalmazza a Officesips.exe telepítési mappájában.
Megjegyzés: A SignTool x86-os verzióját használja a "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" mappában Offsign.bat futtatásakor.
Szabályzatbeállítás engedélyezése: "Csak V3-aláírásokat használó VBA-makrók megbízhatók"
A V3-aláírásokra való frissítés befejezése után javasoljuk, hogy engedélyezze a Csak v3 aláírásokat használó VBA-makrók engedélyezése beállítást, hogy csak a V3 aláírással aláírt fájlok legyenek megbízhatók.
Ez a házirend-beállítás Csoportházirend vagy az Office felhőszabályzat-szolgáltatásban érhető el. A felhasználó konfigurációja\Házirendek\Felügyeleti sablonok\Microsoft Office 2016\Security Settings\Trust Center mappában található. Ha ez a beállítás engedélyezve van, csak a V3-as aláírás lesz érvényes, amikor az Office ellenőrzi a digitális aláírást a fájlokban. A VBA-fájlok korábbi formátumú aláírásai figyelmen kívül lesznek hagyva.
