Microsoft atklāja ievainojamību Office Visual Basic for Applications (VBA) makro projekta parakstīšanai. Šāda ievainojamība var ļaut ļaunprātīgam lietotājam piekļūt parakstītam VBA projektam, nezaudējot tā ciparparakstu. Tāpēc mēs iesakām lietotājiem lietot drošības atjauninājumus, kas norādīti CVE-2020-0760 Sadaļā Microsoft Common Vulnerabilities un Exposures.
Lai uzlabotu Office VBA makro projektu parakstīšanas drošību, Microsoft nodrošina drošāku VBA projekta parakstu shēmas versiju: V3 paraksts. V3 paraksts ir pieejams šādos produktos:
-
Microsoft 365 versija 2102 (būvējumu 16.0.13801.20266) un jaunākās pašreizējā kanāla versijas
-
Office 2019 versijas 1808 (būvējumu 10372.20060) un jaunāku versiju lielapjoma licencēšanas versijas
-
Office 2016 Click-to-Run izdevumu un Office 2019 versijas 2102 (būvējumu 16.0.13801.20266) mazumtirdzniecības versijas un jaunākas versijas
-
Office 2016 .msi (office Installer) ar šādiem atjauninājumiem vai jaunākām atjauninājumu versijām:
-
2020. gada 1. decembra Office 2016 atjauninājums (KB4486747)
-
Excel 2016 drošības atjauninājuma apraksts: 2020. gada 8. decembris (KB4486754)
-
PowerPoint 2016 drošības atjauninājuma apraksts: 2020. gada 8. decembris (KB4484393)
-
2020. gada 1. decembra project 2016 atjauninājums (KB4486749)
-
2020. gada 1. decembra atjauninājums Publisher 2016 (KB4484334)
-
2020. gada 1. decembra atjauninājums programmai Visio 2016 (KB4486709)
-
Office 2016 drošības atjauninājuma apraksts: 2021. gada 9. marts (KB4493225)
-
Mēs iesakām organizācijām lietot V3 parakstu visiem makro, lai novērstu pārzīšanas risku.
Pēc noklusējuma, lai nodrošinātu atpakaļsaderību, VBA faili ar esošiem parakstiem turpinās darboties, un failus, kas parakstīti, izmantojot V3 parakstu, var atvērt un palaist vecākās Office versijās vai neatjaunina klientos Office. Tomēr mēs iesakām administratoriem pēc iespējas drīzāk jaunināt esošos VBA parakstus uz V3 parakstu pēc tam, kad viņi jauninās Office uz norādītajām versijām. Pēc tam, kad administratori ir pārbaudīsit, vai organizācijai nav saderības zuduma, administratori var atspējot vecos VBA parakstus, iespējojot iestatījumu Tikai uzticēties VBA makro, kas izmanto V3 parakstu politikas iestatījumu. Papildinformāciju par šo politikas iestatījumu skatiet sadaļā "Iespējot politikas iestatījumu: tikai uzticēties VBA makro, kas izmanto V3 parakstus".
Parakstītu VBA failu jaunināšana uz V3 parakstu
Administratori var izmantot tālāk norādītās tēmas, lai jauninātu esošos VBA parakstu failus uz V3 parakstu.
VBA redaktora izmantošana VBA failu atkārtotai pierakstīšanāsi
Ja jums ir privāti sertifikāti, izmantojiet Visual Basic for Applications (VBA) redaktoru, kas ir pieejams Office programmā, lai atkārtoti parakstītu VBA failus.
-
Lai atkārtoti parakstītu VBA failu, nospiediet taustiņu kombināciju Alt+F11 no faila, lai atvērtu VBA redaktoru.
-
Lai aizstātu esošu parakstu ar V3 parakstu, atlasiet Rīki > Ciparparaksts. Tiek atvērts dialoglodziņš Ciparparaksts.
Piezīme.: Lai parakstītu VBA projektu, privātās atslēgas ir jāinstalē pareizi. Papildinformāciju skatiet rakstā Makro projekta ciparparakstīšana.
-
Atlasiet Izvēlēties izvēlēties sertifikātu privātu atslēgu, ko izmantot VBA projekta parakstam, un pēc tam atlasiet Labi.
-
Lai ģenerētu jaunos parakstus, vēlreiz saglabājiet failu. Jaunie ciparparaksti aizstās iepriekšējos parakstus.
Izmantojiet SignTool, lai atkārtoti parakstītu VBA failus
Windows 10 SDK rīks SignTool var palīdzēt atkārtoti parakstīt VBA failus, izmantojot komandrindu. Lai atkārtoti parakstītu darbu paketē krājumu sarakstā, kas ir identificēts sadaļā "Parakstītu VBA failu krājumu izveide", varat integrēt SignTool pašos administrēšanas rīkos.
Piezīme.: Pašlaik SignTool neatbalsta Microsoft Access.
Lai atkārtoti parakstītu VBA failus, izmantojot SignTool, veiciet tālāk norādītās darbības.
-
Lejupielādējiet un instalējiet Windows 10 SDK.
-
Lejupielādējiet Officesips.exe no Microsoft Office tēmas interfeisa pakotnēm VBA projektu digitālai parakstīšanai.
-
Lai parakstītu failus un pārbaudītu failos esošos parakstus, reģistrējiet Msosip.dll Msosipx.dll un pēc tam palaidiet Offsign.bat. Detalizētās darbības ir iekļautas Readme.txt failu grupas Officesips.exe.
Piezīme.: Izpildot komandu, izmantojiet SignTool x86 versiju mapē "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86 Offsign.bat".
Politikas iestatījuma iespējošana: "Tikai uzticēties VBA makro, kas izmanto V3 parakstus"
Kad esat pabeidzis jaunināšanu uz V3 parakstiem, ieteicams iespējot opciju Tikai uzticēties VBA makro, kas izmanto V3 parakstu politikas iestatījumu, lai pārliecinātos, vai tikai V3 ar parakstu parakstīti faili ir uzticami.
Šis politikas iestatījums ir pieejams grupas politika Office mākoņa politikas pakalpojumā. Tā atrodas lietotāja konfigurācijā\Politikas\Administratīvās veidnes\Microsoft Office 2016\Security Settings\Trust Center. Ja šis iestatījums ir iespējots, tikai V3 paraksts tiks uzskatīts par derīgu tikai tad, kad Office validēs ciparparakstu failos. Vba failos iepriekš lietotie paraksti tiks ignorēti.