Microsoft har oppdaget et sikkerhetsproblem i makroprosjektsignering for Office Visual Basic for Applications (VBA). Dette sikkerhetsproblemet kan gjøre det mulig for en ondsinnet bruker å tukle med et signert VBA-prosjekt uten å gjøre den digitale signaturen ugyldig. Derfor anbefaler vi at brukere bruker sikkerhetsoppdateringene som er oppført i Microsoft Common Vulnerabilities and Exposures CVE-2020-0760.
Microsoft tilbyr en sikrere versjon av VBA-prosjektsignaturoppsettet for å forbedre sikkerheten til office VBA-makroprosjektsigneringen: V3-signatur. V3-signaturen er tilgjengelig i følgende produkter:
-
Microsoft 365 versjon 2102 (bygg 16.0.13801.20266) og nyere versjoner av den gjeldende kanalen
-
Volumlisensversjoner av Office 2019 versjon 1808 (bygg 10372.20060) og nyere versjoner
-
Detaljhandelversjoner av Office 2016 Klikk og bruk-versjoner og Office 2019 versjon 2102 (bygg 16.0.13801.20266) og nyere versjoner
-
Microsoft Installer (.msi)-baserte versjoner av Office 2016 som har følgende oppdateringer eller nyere versjoner av oppdateringer:
Vi anbefaler at organisasjoner bruker V3-signaturen på alle makroer for å eliminere risikoen for manipulering.
For å sikre bakoverkompatibilitet vil VBA-filer som har eksisterende signaturer, fortsette å fungere som standard, og filer som er signert ved hjelp av V3-signaturen, kan åpnes og kjøres i tidligere versjoner av Office eller i ikke-oppdaterte Office-klienter. Vi anbefaler imidlertid at administratorer oppgraderer de eksisterende VBA-signaturene til V3-signaturen så snart som mulig etter at de har oppgradert Office til de oppførte versjonene. Når administratorer har bekreftet at organisasjonen ikke har kompatibilitetstap, kan de deaktivere de gamle VBA-signaturene ved å aktivere policyinnstillingen Bare klarer VBA-makroer som bruker V3-signaturer. Hvis du vil ha mer informasjon om denne policyinnstillingen, kan du se delen Aktiver policyinnstilling: Klarer bare VBA-makroer som bruker V3-signaturer.
Oppgradere signerte VBA-filer til V3-signaturen
Administratorer kan bruke følgende emner til å oppgradere eksisterende VBA-signaturer til V3-signaturen.
Bruk VBA Editor til å signere VBA-filer på nytt
Hvis du har private sertifikater, kan du bruke Visual Basic for Applications (VBA)-redigeringsprogrammet som er angitt i et Office-program, til å signere VBA-filene på nytt.
-
Hvis du vil signere en VBA-fil på nytt, trykker du på ALT+F11 fra filen for å åpne VBA-redigeringsprogrammet.
-
Hvis du vil erstatte en eksisterende signatur med V3-signaturen, velger du Verktøy > digital signatur. Dialogboksen Digital signatur åpnes.
Obs!: Hvis du vil signere et VBA-prosjekt, må den private nøkkelen være riktig installert. Hvis du vil ha mer informasjon, kan du se Signere makroprosjektet digitalt.
-
Velg Velg for å velge den private nøkkelen for sertifikatet som skal brukes til å signere VBA-prosjektet, og velg deretter OK.
-
Hvis du vil generere de nye signaturene, lagrer du filen på nytt. De nye digitale signaturene erstatter de forrige signaturene.
Bruke SignTool til å signere VBA-filer på nytt
SignTool i Windows 10 SDK kan hjelpe deg med å signere VBA-filene på nytt via en kommandolinje. Hvis du vil satse nysigneringsarbeidet mot lagerlisten som er identifisert i delen Opprett en oversikt over signerte VBA-filer, kan du integrere SignTool i dine egne administrasjonsverktøy.
Obs!: SignTool støtter for øyeblikket ikke Microsoft Access.
Hvis du vil signere VBA-filer på nytt ved hjelp av SignTool, gjør du følgende:
-
Last ned og installer Windows 10 SDK.
-
Last ned Officesips.exe fra Microsoft Office Subject Interface-pakker for digitalt signering av VBA-prosjekter.
-
Hvis du vil signere filer og bekrefte signaturene i filer, registrerer du Msosip.dll og Msosipx.dll, og deretter kjører du Offsign.bat. De detaljerte trinnene er inkludert i Readme.txt-filen i installasjonsmappen for Officesips.exe.
Obs!: Bruk x86-versjonen av SignTool i mappen "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" når du kjører Offsign.bat.
Aktiver policyinnstilling: «Klarer bare VBA-makroer som bruker V3-signaturer»
Når du har fullført oppgraderingen til V3-signaturene, anbefaler vi at du aktiverer policyinnstillingen Bare klarer VBA-makroer som bruker V3-signaturer, for å sikre at bare V3-signatursignerte filer er klarert.
Denne policyinnstillingen er tilgjengelig i gruppepolicy eller Office Cloud Policy Service. Den er plassert i Brukerkonfigurasjon\Policyer\Administrative maler\Microsoft Office 2016\Sikkerhetsinnstillinger\Klareringssenter. Hvis denne innstillingen er aktivert, anses bare V3-signaturen som gyldig når Office validerer den digitale signaturen i filer. Signaturer i tidligere formater i VBA-filer ignoreres.