Atualizar projetos de macro do Office VBA assinados para assinatura V3 (KB5000676)

A Microsoft descobriu uma vulnerabilidade na assinatura de projetos de macros do Office VBA (Visual Basic for Applications). Essa vulnerabilidade pode permitir que um usuário mal-intencionado adultere um projeto do VBA assinado sem invalidar a respectiva assinatura digital. Portanto, recomendamos que os usuários apliquem as atualizações de segurança listadas em Vulnerabilidades e exposições comuns da Microsoft, CVE-2020-0760.

Para aumentar a segurança da assinatura de projetos de macros do Office VBA, a Microsoft fornece uma versão mais segura do esquema de assinatura de projetos do VBA: a assinatura V3. A assinatura V3 está disponível nos seguintes produtos:

Recomendamos que as organizações apliquem a assinatura V3 a todas as macros para eliminar o risco de adulteração.

Por padrão, para garantir a compatibilidade com versões anteriores, os arquivos do VBA com assinaturas existentes continuarão a funcionar, e os arquivos assinados usando a assinatura V3 podem ser abertos e executados em versões anteriores do Office ou em clientes do Office não atualizados. No entanto, recomendamos que os administradores atualizem as assinaturas do VBA existentes para a assinatura V3 assim que possível após atualizarem o Office para as versões listadas. Depois que os administradores verificarem se não há perda de compatibilidade para a organização, eles poderão desabilitar as assinaturas do VBA antigas habilitando a configuração de política Só confiar em macros VBA que usam assinaturas V3. Para obter mais informações sobre essa configuração de política, consulte a seção "Habilitar configuração de política: só confiar em macros VBA que usam assinaturas V3".

Atualizar arquivos do VBA assinados para a assinatura V3

Os administradores podem usar os tópicos a seguir para atualizar arquivos de assinaturas do VBA existentes para a assinatura V3.

Criar um inventário de arquivos do VBA assinados

Se você já tiver um inventário de todos os arquivos do VBA assinados existentes, ignore esta seção. Caso contrário, use o Kit de Ferramentas de Preparação para os complementos do Office e o VBA a fim de criar um inventário dos arquivos do VBA assinados existentes que devem ser atualizados. A ferramenta gerará um relatório com a lista de arquivos que devem ser atualizados, juntamente com seus locais de arquivo. Para obter mais informações sobre o Kit de Ferramentas de Preparação, consulte Usar o Kit de Ferramentas de Preparação para avaliar a compatibilidade de aplicativos para o Microsoft 365 Apps.

  1. Baixe o Kit de Ferramentas de Preparação para os complementos do Office e o VBA.

  2. Execute o PowerShell ou abra uma janela do Prompt de Comando como administrador e navegue até a pasta de instalação do Kit de Ferramentas de Preparação:

    C:\Program Files (x86)\Microsoft Readiness Toolkit for Office

  3. Execute o seguinte comando para examinar uma pasta em que os arquivos do VBA estão localizados (por exemplo, C:\Test_ToolKit):

    ReadinessReportCreator.exe -sigscan -p C:\Test_ToolKit -r -output C:\output

    Executar linha de comando para examinar uma pasta

    Após a verificação, um arquivo de resultados JSON é criado na pasta C:\output.

  4. Na pasta de instalação do Kit de Ferramentas de Preparação, execute o arquivo ReadinessReportCreator.exe para abrir o arquivo de resultados.

    Captura de tela de ReadinessReportCreator.exe em execução

    No arquivo de resultados, encontre todos os arquivos de macros não seguras que você precisa atualizar para a assinatura V3.

    Captura de tela do arquivo de resultados

    Captura de tela de assinaturas de macro não seguras

Usar o Editor do VBA para assinar arquivos do VBA novamente

Se você tiver certificados privados, use o Editor do VBA (Visual Basic for Applications) fornecido em um aplicativo do Office para assinar novamente os arquivos do VBA.

  1. Para assinar novamente um arquivo do VBA, pressione Alt+F11 no arquivo para abrir o Editor do VBA.

  2. Para substituir uma assinatura existente pela assinatura V3, selecione Ferramentas > Assinatura Digital. A caixa de diálogo Assinatura Digital será aberta.

    Observação: Para assinar um projeto do VBA, a chave privada deve ser instalada corretamente. Para obter mais informações, consulte Assinar digitalmente seu projeto de macro.

    Captura de tela da seleção de Assinatura Digital

  3. Selecione Escolher para escolher a chave privada do certificado a ser usada para assinar o projeto do VBA e selecione OK.

    Selecionar um certificado

  4. Para gerar as novas assinaturas, salve o arquivo novamente. As novas assinaturas digitais substituirão as assinaturas anteriores.

Usar o SignTool para assinar novamente arquivos do VBA

O SignTool no SDK do Windows 10 pode ajudá-lo a assinar novamente os arquivos do VBA por meio de uma linha de comando. Para realizar a nova assinatura em lote na lista de inventário identificada na seção "Criar um inventário de arquivos do VBA assinados", você pode integrar o SignTool às suas próprias ferramentas de administração.

Observação: No momento, o SignTool não dá suporte ao Microsoft Access.

Para assinar arquivos do VBA usando o SignTool, siga estas etapas:

  1. Baixe e instale o SDK do Windows 10.

  2. Baixe Officesips.exe de Pacotes de Interface de Assunto do Microsoft Office para Assinar Digitalmente Projetos do VBA.

  3. Para assinar arquivos e verificar as assinaturas neles, registre Msosip.dll e Msosipx.dll e execute Offsign.bat. As etapas detalhadas estão incluídas no arquivo Readme.txt na pasta de instalação de Officesips.exe.

Observação: Use a versão x86 do SignTool na pasta "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" ao executar Offsign.bat.

Habilitar a configuração de política: "Só confirar em macros do VBA que usam assinaturas V3"

Depois de concluir a atualização para as assinaturas V3, recomendamos que você habilite a configuração de política Só confiar em macros do VBA que usam assinaturas V3 para garantir que apenas arquivos com assinaturas V3 sejam confiáveis.

Essa configuração de política está disponível na Política de Grupo ou no Serviço de Política de Nuvem do Office. Ela está localizada em User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Security Settings\Trust Center. Se essa configuração estiver habilitada, somente a assinatura V3 será considerada válida quando o Office validar a assinatura digital em arquivos. Assinaturas em formatos anteriores em arquivos do VBA serão ignoradas.

Analisar o efeito da aplicação da configuração de política usando o Assistente de Política de Segurança

O Assistente de Política de Segurança está disponível no Centro de Administração de Aplicativos no Microsoft 365 versão 2103 (build 16.0.13824.10000) e versões posteriores do canal atual. Ele fornece informações sobre o efeito de segurança e produtividade da aplicação da configuração de política Só confiar em macros do VBA que usam assinaturas V3.

Para analisar o efeito de produtividade, os administradores podem examinar o painel Detalhes da recomendação para ver quais usuários são protegidos quando essa configuração de política é aplicada. Esses insights podem ajudar os administradores a tomar decisões embasadas sobre os dados medindo os benefícios e os custos da aplicação da configuração de política.

Exibir o impacto da aplicação de configurações de política com SPA

Além disso, os administradores podem usar uma implantação de um clique para essa configuração de política. O Assistente de Política de Segurança usa o serviço de política de nuvem do Office para impor configurações de política do Office ao Microsoft 365 Apps para empresas diretamente da nuvem. Isso funciona para dispositivos gerenciados e não gerenciados. Depois de implantar a configuração de política usando o serviço de política de nuvem do Office, os administradores podem retornar ao painel Detalhes da recomendação para monitorar como a configuração de política está afetando os usuários.

Para obter mais informações sobre como habilitar o Assistente de Política de Segurança em seu ambiente, consulte Visão geral do Assistente de Política de Segurança para o Microsoft 365 Apps para empresas.

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×