A Microsoft descobriu uma vulnerabilidade na assinatura digital do projeto de macro VBA do Office. Essa vulnerabilidade pode permitir que um usuário mal-intencionado viole um projeto VBA assinado sem invalidar sua assinatura digital. Portanto, recomendamos que os usuários apliquem as atualizações de segurança listadas na CVE-2020-0760, uma das vulnerabilidades e exposições comuns da Microsoft.
Para aumentar a segurança da assinatura do projeto de macro VBA do Office, a Microsoft fornece uma versão mais segura do esquema de assinatura do projeto VBA: a assinatura V3. A assinatura V3 está disponível nos seguintes produtos:
-
Microsoft 365 versão 2102 (build 16.0.13801.20266) e versões posteriores do canal atual
-
Versões licenciadas por volume do Office 2019 versão 1808 (build 10372.20060) e versões posteriores
-
Versões de varejo das edições Clique para Executar do Office 2016 e do Office 2019 versão 2102 (build 16.0.13801.20266) e versões posteriores
-
Edições com base no Microsoft Installer (.msi) do Office 2016 que têm as seguintes atualizações ou versões posteriores das atualizações:
-
1º de dezembro de 2020, atualização para o Office 2016 (KB4486747)
-
Descrição da atualização de segurança para o Excel 2016: 8 de dezembro de 2020 (KB4486754)
-
Descrição da atualização de segurança para o PowerPoint 2016: 8 de dezembro de 2020 (KB4484393)
-
1º de dezembro de 2020, atualização para o Project 2016 (KB4486749)
-
1º de dezembro de 2020, atualização para o Publisher 2016 (KB4484334)
-
1º de dezembro de 2020, atualização para o Visio 2016 (KB4486709)
-
1º de dezembro de 2020, atualização para o Word 2016 (KB4486756)
-
2 de março de 2021, atualização para o Access 2016 (KB4493188)
-
2 de março de 2021, atualização para o Office 2016 (KB4493153)
-
Descrição da atualização de segurança do Office 2016: 9 de março de 2021 (KB4493225)
-
Recomendamos que as organizações apliquem a assinatura V3 a todas as macros para eliminar o risco de adulteração.
Por padrão, para garantir a compatibilidade com versões anteriores, os arquivos VBA que têm assinaturas existentes continuarão a funcionar e os arquivos assinados usando a assinatura V3 podem ser abertos e executados em versões anteriores do Office ou em clientes do Office não atualizados. No entanto, recomendamos que os administradores atualizem as assinaturas VBA existentes para a assinatura V3 assim que possível após atualizarem o Office para as versões listadas. Depois que os administradores verificarem que não há perda de compatibilidade para a organização, eles poderão desabilitar as assinaturas VBA antigas habilitando a configuração de política dos macros VBA de confiança que usam somente assinaturas V3. Para obter mais informações sobre essa configuração de política, consulte a seção "Habilitar configuração de política: confiar somente em macros VBA que usam assinaturas V3".
Atualizar arquivos do VBA assinados para a assinatura V3
Os administradores podem usar os tópicos a seguir para atualizar arquivos de assinaturas do VBA existentes para a assinatura V3.
Usar o Editor do VBA para assinar arquivos do VBA novamente
Se você tiver certificados privados, use o Editor do VBA (Visual Basic for Applications) fornecido em um aplicativo do Office para assinar novamente os arquivos do VBA.
-
Para assinar novamente um arquivo do VBA, pressione Alt+F11 no arquivo para abrir o Editor do VBA.
-
Para substituir uma assinatura existente pela assinatura V3, selecione Ferramentas > Assinatura Digital. A caixa de diálogo Assinatura Digital é aberta.
Observação: Para assinar um projeto VBA, a chave privada deve ser instalada corretamente. Para obter mais informações, consulte Assinar digitalmente seu projeto de macro.
-
Selecione Escolher para escolher a chave privada do certificado a ser usada para assinar o projeto do VBA e selecione OK.
-
Para gerar as novas assinaturas, salve o arquivo novamente. As novas assinaturas digitais substituirão as assinaturas anteriores.
Usar o SignTool para assinar novamente arquivos do VBA
O SignTool no SDK do Microsoft Windows pode ajudá-lo a assinar novamente os arquivos VBA por meio de uma linha de comando. Para por em lote o trabalho de nova assinatura na lista de inventário identificada na seção "Criar um inventário de arquivos VBA assinados", você pode integrar o SignTool às suas próprias ferramentas de administração.
Observação: No momento, o SignTool não dá suporte ao Microsoft Access.
Para assinar arquivos do VBA usando o SignTool, siga estas etapas:
-
Baixe e instale o SDK do Microsoft Windows.
-
Baixe Officesips.exe de Pacotes de Interface de Assunto do Microsoft Office para Assinar Digitalmente Projetos VBA.
-
Para assinar arquivos e verificar as assinaturas em arquivos, registre Msosip.dll e Msosipx.dll e execute Offsign.bat. As etapas detalhadas são incluídas no arquivo Readme.txt na pasta de instalação do Officesips.exe.
Observação: Use a versão x86 do SignTool na pasta "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" ao executar Offsign.bat.
Habilitar a configuração de política: "Só confirar em macros do VBA que usam assinaturas V3"
Depois de concluir a atualização para as assinaturas V3, recomendamos que você habilite a configuração de política Só confiar em macros do VBA que usam assinaturas V3 para garantir que apenas arquivos com assinaturas V3 sejam confiáveis.
Essa configuração de política está disponível no Política de Grupo ou no Serviço de Política de Nuvem do Office. Ela pode ser encontrada em Configuração do Usuário\Políticas\Modelos Administrativos\Microsoft Office 2016\Configurações de Segurança\Central de Confiabilidade. Se essa configuração estiver habilitada, somente a assinatura V3 será considerada válida quando o Office validar a assinatura digital em arquivos. As assinaturas de formato anterior em arquivos VBA serão ignoradas.
