Spoločnosť Microsoft zistila zraniteľnosť pri podpisovaní projektov makier jazyka Office Visual Basic for Applications (VBA). Táto zraniteľnosť môže umožniť škodlivému používateľovi manipulovať s podpísaným projektom VBA bez toho, aby sa zrušil jeho digitálny podpis. Preto odporúčame, aby používatelia použili aktualizácie zabezpečenia, ktoré sú uvedené v službe Microsoft Common Vulnerabilities and Exposures CVE-2020-0760.
S cieľom zvýšiť zabezpečenie podpisovania projektov makier VBA balíka Office poskytuje spoločnosť Microsoft bezpečnejšiu verziu schémy podpisovania projektu VBA: podpis V3. Podpis V3 je k dispozícii v nasledujúcich produktoch:
-
Microsoft 365, verzia 2102 (zostava 16.0.13801.20266) a novšie verzie aktuálneho kanála
-
Multilicenčné verzie balíka Office 2019 verzie 1808 (zostava 10372.20060) a novšie verzie
-
Maloobchodné verzie vydaní balíka Office 2016 Klikni a spustí a Office 2019 verzie 2102 (zostava 16.0.13801.20266) a novších verzií
-
Vydania balíka Office 2016 založené na inštalátore spoločnosti Microsoft (.msi), ktoré obsahujú nasledujúce aktualizácie alebo novšie verzie aktualizácií:
-
Aktualizácia balíka Office 2016 z 1. decembra 2020 (KB4486747)
-
Popis aktualizácie zabezpečenia pre Excel 2016: 8. decembra 2020 (KB4486754)
-
Popis aktualizácie zabezpečenia pre PowerPoint 2016: 8. decembra 2020 (KB4484393)
-
Aktualizácia Pre Project 2016 z 1. decembra 2020 (KB4486749)
-
Aktualizácia pre Publisher 2016 z 1. decembra 2020 (KB4484334)
-
Popis aktualizácie zabezpečenia pre Office 2016: 9. marca 2021 (KB4493225)
-
Odporúčame, aby organizácie použili podpis V3 na všetky makrá, aby sa eliminovalo riziko manipulácie.
Na zabezpečenie spätnej kompatibility budú súbory VBA s existujúcimi podpismi naďalej fungovať a súbory podpísané podpisom V3 je možné otvoriť a spustiť v starších verziách balíka Office alebo v neaktualizovaných klientoch balíka Office. Odporúčame však, aby správcovia inovovali existujúce podpisy VBA na podpis V3 čo najskôr po inovácii balíka Office na uvedené verzie. Keď správcovia overia, že v organizácii nie je žiadna strata kompatibility, môžu zakázať staré podpisy VBA povolením makier VBA Iba dôverovať, ktoré používajú nastavenie politiky podpisov V3. Ďalšie informácie o tomto nastavení politiky nájdete v časti Povolenie nastavenia politiky: Dôverovať iba makrám jazyka VBA, ktoré používajú podpisy V3.
Inovácia podpísaných súborov VBA na podpis V3
Správcovia môžu použiť nasledujúce témy na inováciu existujúcich súborov podpisov VBA na podpis V3.
Opätovné podpísanie súborov VBA pomocou Editora VBA
Ak máte súkromné certifikáty, na opätovné podpísanie súborov VBA použite editor Jazyka Visual Basic for Applications (VBA), ktorý je k dispozícii v aplikácii balíka Office.
-
Ak chcete znova podpísať súbor VBA, stlačením kombinácie klávesov Alt + F11 v rámci súboru otvorte Editor VBA.
-
Ak chcete nahradiť existujúci podpis podpisom V3, vyberte položku Nástroje > digitálny podpis. Otvorí sa dialógové okno Digitálny podpis.
Poznámka: Ak chcete podpísať projekt VBA, súkromný kľúč musí byť správne nainštalovaný. Ďalšie informácie nájdete v téme Digitálne podpísanie projektu makier.
-
Vyberte možnosť Vybrať, ak chcete vybrať súkromný kľúč certifikátu, ktorý sa má použiť na podpísanie projektu VBA, a potom vyberte tlačidlo OK.
-
Ak chcete vygenerovať nové podpisy, súbor znova uložte. Nové digitálne podpisy nahradia predchádzajúce podpisy.
Opätovné podpísanie súborov VBA pomocou nástroja SignTool
SignTool v súprave Windows 10 SDK vám môže pomôcť znova podpísať súbory VBA prostredníctvom príkazového riadka. Ak chcete zaradiť prácu s opätovným podpisom do zoznamu inventára, ktorý je identifikovaný v časti Vytvorenie súpisu podpísaných súborov VBA, môžete nástroj SignTool integrovať do vlastných nástrojov na správu.
Poznámka: SignTool momentálne nepodporuje Microsoft Access.
Ak chcete znova podpísať súbory VBA pomocou nástroja SignTool, postupujte podľa týchto krokov:
-
Stiahnite a nainštalujte Windows 10 súpravu SDK.
-
Stiahnite si Officesips.exe z balíkov Microsoft Office Subject Interface na digitálne podpisovanie projektov VBA.
-
Ak chcete podpisovať súbory a overiť podpisy v súboroch, zaregistrujte Msosip.dll a Msosipx.dll a spustite Offsign.bat. Podrobné kroky sú súčasťou Readme.txt súboru v inštalačnom priečinku Officesips.exe.
Poznámka: Pri spustení Offsign.bat použite verziu x86 nástroja SignTool v priečinku C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86.
Povoliť nastavenie politiky: Dôverovať iba makrám VBA, ktoré používajú podpisy V3
Po dokončení inovácie podpisov V3 odporúčame povoliť makrá VBA Iba dôverovať, ktoré používajú nastavenie politiky podpisov V3, aby ste sa uistili, že dôveryhodné sú iba súbory s podpisom V3.
Toto nastavenie politiky je k dispozícii v skupinová politika alebo v cloudovej službe politiky balíka Office. Nachádza sa v umiestnení User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Security Settings\Trust Center. Ak je toto nastavenie povolené, pri overení digitálneho podpisu v súboroch balíkom Office sa za platný bude považovať len podpis V3. Podpisy v staršom formáte v súboroch VBA sa budú ignorovať.