Корпорація Майкрософт виявила вразливість підпису макросів Office Visual Basic for Applications (VBA). Ця вразливість може дати зловмисникам змогу підробити підписаний проект VBA, не вводячи його цифровий підпис недійсним. Тому радимо користувачам застосовувати оновлення системи безпеки, перелічені в розділі Загальні вразливості Microsoft і Експозиції CVE-2020-0760.
Щоб підвищити безпеку підпису макросу Office VBA, корпорація Майкрософт надає безпечнішу версію схеми підписів проекту VBA: підпис V3. Підпис V3 доступний у таких продуктах:
-
Microsoft 365 версії 2102 (збірка 16.0.13801.20266) і новіші версії поточного каналу
-
Версії Office 2019 із корпоративною ліцензією 1808 (збірка 10372.20060) і пізніші версії
-
Роздрібні версії Office 2016 умить і Office 2019 версії 2102 (збірка 16.0.13801.20266) і новіші версії
-
Випуски Office 2016 на основі інсталятора Microsoft (.msi), які мають такі оновлення або пізніші версії оновлень:
Ми рекомендуємо організаціям застосувати підпис V3 до всіх макросів, щоб уникнути ризику підробок.
За замовчуванням, щоб забезпечити зворотну сумісність, файли VBA з наявними підписами працюватимуть і файли, підписані за допомогою підпису V3, можна відкривати та запускати в попередніх версіях Office або в неоновлюваних клієнтах Office. Однак ми радимо адміністраторам якомога швидше оновити наявні підписи VBA до підпису V3 після оновлення Office до перелічених версій. Коли адміністратори перевірять, що в організації немає втрати сумісності, вони зможуть вимкнути старі підписи VBA, увімкнувши параметр Лише надійні макроси VBA, які використовують політику підписів V3. Докладні відомості про цей параметр політики див. в розділі "Увімкнення параметра політики: лише надійні макроси VBA, які використовують підписи V3".
Оновлення підписаних файлів VBA до підпису V3
Адміністратори можуть використовувати наведені нижче статті, щоб оновити наявні файли підписів VBA до підпису V3.
Повторний підпис файлів VBA за допомогою редактора VBA
Якщо у вас є приватні сертифікати, скористайтеся редактором Visual Basic for Applications (VBA), який надається в програмі Office, щоб повторно підписати файли VBA.
-
Щоб повторно підписати файл VBA, натисніть клавіші Alt+F11 із файлу, щоб відкрити редактор VBA.
-
Щоб замінити наявний підпис на підпис V3, виберіть Знаряддя > Цифровий підпис. Відкриється діалогове вікно Цифровий підпис.
Примітка.: Щоб підписати проект VBA, потрібно правильно інсталювати закритий ключ. Докладні відомості див. в статті Цифровий підпис проекту макросів.
-
Натисніть кнопку Вибрати, щоб вибрати закритий ключ сертифіката для підписання проекту VBA, а потім натисніть кнопку OK.
-
Щоб створити нові підписи, збережіть файл ще раз. Нові цифрові підписи замінять попередні підписи.
Повторний підпис файлів VBA за допомогою SignTool
SignTool in the Windows 10 SDK can help you re-sign the VBA files through a command line. Щоб пакетувати перепідписування зі списком запасів, визначеним у розділі "Створення реєстру підписаних файлів VBA", можна інтегрувати SignTool у власні інструменти адміністрування.
Примітка.: Наразі SignTool не підтримує Microsoft Access.
Щоб повторно підписати файли VBA за допомогою signTool, виконайте такі дії:
-
Завантажте та інсталюйте пакет SDK для Windows 10.
-
Завантажте Officesips.exe з пакетів тематичного інтерфейсу Microsoft Office для проектів VBA із цифровим підписом.
-
Щоб підписати файли та перевірити підписи у файлах, зареєструйте Msosip.dll та Msosipx.dll, а потім запустіть Offsign.bat. Докладні інструкції містяться у файлі Readme.txt в папці інсталяції Officesips.exe.
Примітка.: Під час запуску Offsign.bat використовуйте x86-версію SignTool у папці "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86".
Увімкнути параметр політики: "Only trust VBA macros that use V3 signatures" (Лише макроси VBA, які використовують підписи V3)
Після оновлення до підписів V3 радимо ввімкнути параметр Лише надійні макроси VBA, які використовують параметр політики підписів V3, щоб переконатися, що лише файли з підписом V3 надійні.
Цей параметр політики доступний у службі Групова політика або службі хмарної політики Office. Він міститься в користувацькій конфігурації\Політики\Адміністративні шаблони\Microsoft Office 2016\Параметри безпеки\Центр безпеки та конфіденційності. Якщо цей параметр увімкнуто, під час перевірки цифрового підпису у файлах лише підпис V3 вважатиметься припустимим. Попередні формати підписів у файлах VBA ігноруватимуться.