Microsoft đã phát hiện lỗ hổng trong việc ký dự án macro Office Visual Basic for Applications (VBA). Lỗ hổng này có thể cho phép người dùng độc hại giả mạo dự án VBA đã ký mà không làm mất hiệu lực chữ ký số của dự án. Do đó, chúng tôi khuyên người dùng nên áp dụng các bản cập nhật bảo mật được liệt kê trong Microsoft Common Vulnerabilities and Exposures CVE-2020-0760.
Để nâng cao tính bảo mật của việc ký dự án macro VBA trong Office, Microsoft cung cấp một phiên bản bảo mật hơn của lược đồ chữ ký dự án VBA: Chữ ký V3. Chữ ký V3 có sẵn trong các sản phẩm sau đây:
-
Microsoft 365 phiên bản 2102 (bản dựng 16.0.13801.20266) và các phiên bản mới hơn của kênh hiện tại
-
Các phiên bản cấp phép số lượng lớn của Office 2019 phiên bản 1808 (bản dựng 10372.20060) và các phiên bản mới hơn
-
Các phiên bản bán lẻ của các phiên bản Click-to-Run của Office 2016 và Office 2019 phiên bản 2102 (bản dựng 16.0.13801.20266) và các phiên bản mới hơn
-
Các phiên bản office 2016 dựa trên Microsoft Installer (.msi) có các bản cập nhật sau hoặc phiên bản cập nhật mới hơn:
Chúng tôi khuyên các tổ chức nên áp dụng chữ ký V3 cho tất cả các macro để loại bỏ nguy cơ giả mạo.
Theo mặc định, để đảm bảo tính tương thích ngược, các tệp VBA có chữ ký hiện có sẽ tiếp tục hoạt động và các tệp được ký bằng chữ ký V3 có thể mở và chạy trong các phiên bản trước của Office hoặc trong máy khách Office không cập nhật. Tuy nhiên, chúng tôi khuyên người quản trị nên nâng cấp chữ ký VBA hiện có lên chữ ký V3 càng sớm càng tốt sau khi họ nâng cấp Office lên các phiên bản được liệt kê. Sau khi người quản trị xác nhận rằng không có mất tính tương thích đối với tổ chức, họ có thể vô hiệu hóa chữ ký VBA cũ bằng cách bật thiết đặt chính sách Chỉ tin cậy VBA sử dụng thiết đặt chính sách chữ ký V3. Để biết thêm thông tin về thiết đặt chính sách này, hãy xem mục " Bật cài đặt chính sách: Chỉ tin cậycác macro VBA sử dụng chữ ký V3".
Nâng cấp tệp VBA đã ký lên chữ ký V3
Người quản trị có thể sử dụng các chủ đề sau đây để nâng cấp tệp chữ ký VBA hiện có thành chữ ký V3.
Tạo bảng kiểm kê các tệp VBA đã ký
Nếu bạn đã có một bảng kiểm kê tất cả các tệp VBA đã ký hiện có, bạn có thể bỏ qua mục này. Nếu không, hãy sử dụng Bộ công cụ Sẵn sàng dành cho các phần bổ trợ dành cho Office và VBA để tạo bảng kiểm kê các tệp VBA đã ký hiện có cần được nâng cấp. Công cụ sẽ tạo một báo cáo liệt kê các tệp cần phải được nâng cấp cùng với vị trí tệp của chúng. Để biết thêm thông tin về Bộ công cụ Sẵn sàng, hãy xem Sử dụng Bộ công cụ Sẵn sàng để đánh giá tính tương thích của ứng dụng cho Ứng dụng Microsoft 365.
-
Tải xuống Bộ công cụ Sẵn sàng cho các phần bổ trợ dành cho Office và VBA.
-
Chạy PowerShell hoặc mở cửa sổ Dấu nhắc Lệnh với tư cách người quản trị, rồi dẫn hướng đến thư mục cài đặt Bộ công cụ Sẵn sàng:
C:\Program Files (x86)\Microsoft Readiness Toolkit for Office -
Chạy lệnh sau đây để quét thư mục chứa tệp VBA của bạn (ví dụ: C:\Test_ToolKit):
ReadinessReportCreator.exe -sigscan -p C:\Test_ToolKit -r -output C:\output
Sau khi quét, tệp kết quả JSON sẽ được tạo trong thư mục C:\output.
-
Từ thư mục cài đặt Bộ công cụ Sẵn sàng, chạy ReadinessReportCreator.exe của bạn để mở tệp kết quả.
Trong tệp kết quả, hãy tìm tất cả các tệp macro không an toàn mà bạn phải nâng cấp lên chữ ký V3.
Sử dụng Trình soạn thảo VBA để ký lại các tệp VBA
Nếu bạn có chứng chỉ riêng, hãy sử dụng Trình soạn thảo Visual Basic for Applications (VBA) được cung cấp trong ứng dụng Office để ký lại các tệp VBA.
-
Để ký lại tệp VBA, nhấn Alt+F11 từ bên trong tệp để mở Trình soạn thảo VBA.
-
Để thay thế chữ ký hiện có bằng chữ ký V3, chọn Công cụ> chữ ký số. Hộp thoại Chữ ký Số sẽ mở ra.
Lưu ý: Để ký một dự án VBA, khóa riêng phải được cài đặt đúng. Để biết thêm thông tin, hãy xem Ký điện tử dự án macro của bạn.
-
Chọn Choose to choose the certificate private key to use to sign the VBA project, and then select OK.
-
Để tạo chữ ký mới, hãy lưu tệp lại. Chữ ký số mới sẽ thay thế các chữ ký trước đó.
Sử dụng SignTool để ký lại tệp VBA
SignTool trong SDK Windows 10 có thể giúp bạn ký lại tệp VBA thông qua dòng lệnh. Để lô công việc ký lại đối với danh sách kiểm kê được xác định trong mục " Tạo bảng kiểm kê các tệpVBAđã ký ", bạn có thể tích hợp SignTool vào công cụ quản trị của riêng bạn.
Lưu ý: Hiện tại, SignTool không hỗ trợ Microsoft Access.
Để ký lại tệp VBA bằng SignTool, hãy làm theo các bước sau:
-
Tải xuống và cài đặt SDK Windows 10.
-
Tải Officesips.exe từ Gói Giao diện Chủ đề của Microsoft Office cho Dự án VBA Ký Điện tử.
-
Để ký tệp và xác minh chữ ký trong tệp, hãy đăng ký Msosip.dll và Msosipx.dll rồi chạy bộ Offsign.bat. Các bước chi tiết được đưa vào tệp Readme.txt tệp trong thư mục cài đặt của Officesips.exe.
Lưu ý: Sử dụng phiên bản x86 của SignTool trong thư mục "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" khi bạn chạy Offsign.bat.
Bật thiết đặt chính sách: "Chỉ tin cậy macro VBA sử dụng chữ ký V3"
Sau khi bạn hoàn thành việc nâng cấp lên chữ ký V3, chúng tôi khuyên bạn nên bật cài đặt chính sách Chỉ tin cậy VBA sử dụng chính sách chữ ký V3 để đảm bảo rằng chỉ tệp chữ ký V3 được tin cậy.
Cài đặt chính sách này sẵn có trong Chính sách Nhóm hoặc Dịch vụ Chính sách Điện toán Đám mây Office. Tệp nằm trong Cấu hình Người dùng\Chính sách\Mẫu Quản trị\Microsoft Office 2016\Cài đặt Bảo mật\Trung tâm Tin cậy. Nếu thiết đặt này được bật, chỉ chữ ký V3 sẽ được coi là hợp lệ khi Office xác thực chữ ký số trong các tệp. Chữ ký định dạng trước đó trong tệp VBA sẽ bị bỏ qua.
Phân tích ảnh hưởng của việc áp dụng thiết đặt chính sách bằng cách sử dụng Trình tư vấn Chính sách Bảo mật
Trình tư vấn Chính sách Bảo mật có sẵn trong Trung tâm Quản trị Ứng dụng trong Microsoft 365 phiên bản 2103 (bản dựng 16.0.13824.10000) và các phiên bản mới hơn của kênh hiện tại. Tài liệu cung cấp thông tin về hiệu ứng bảo mật và năng suất của việc áp dụng macro VBA tin cậy duy nhất sử dụng thiết đặt chính sách chữ ký V3.
Để phân tích hiệu ứng năng suất, người quản trị có thể kiểm tra ngăn Chi tiết đề xuất để xem người dùng nào được bảo vệ khi áp dụng cài đặt chính sách này. Những thông tin chuyên sâu này có thể giúp người quản trị đưa ra quyết định dựa trên dữ liệu bằng cách đánh giá các lợi ích và chi phí khi áp dụng cài đặt chính sách.
Ngoài ra, người quản trị có thể sử dụng triển khai một lần bấm cho thiết đặt chính sách này. Trình tư vấn Chính sách Bảo mật sử dụng dịch vụ chính sách điện toán đám mây của Office để thực thi cài đặt chính sách Office cho các Ứng dụng Microsoft 365 dành cho doanh nghiệp trực tiếp từ điện toán đám mây. Điều này hiệu quả cho cả thiết bị được quản lý và không được quản lý. Sau khi triển khai thiết đặt chính sách bằng cách sử dụng dịch vụ chính sách điện toán đám mây Office, người quản trị có thể truy nhập lại ngăn chi tiết Đề xuất để theo dõi mức độ ảnh hưởng của thiết đặt chính sách đến người dùng.
Để biết thêm thông tin về cách bật Trình tư vấn Chính sách Bảo mật trong môi trường của bạn, hãy xem Tổng quan về Trình tư vấn Chính sách Bảo mật dành cho Ứng dụng Microsoft 365 dành cho doanh nghiệp.
