A adição do SketchUp – ferramenta de modelagem 3D – ao Microsoft 365 (antigo Office 365) abriu mais de cem vulnerabilidades, segundo pesquisadores de cibersegurança da Zscaler. E eles afirmam ter conseguido contornar as correções lançadas pela empresa de Bill Gates para fechar essas brechas.
A equipe de ThreatLabz, da Zscaler, publicou um relatório no qual afirma ter encontrado 117 vulnerabilidades nos aplicativos do Microsoft 365, todas devido ao suporte do antigo Office a arquivos 3D do SketchUp (em formato .skp).
Leia mais:
O programa, lançado em agosto de 2000, permite que os usuários criem modelos 3D para projetos para áreas como arquitetura, engenharia civil e design industrial. Em 2022, a Microsoft anunciou que daria para integrar arquivos do SketchUp a documentos do Word, Excel, PowerPoint e Outlook. Um ano depois, a empresa informou que a integração tinha sido temporariamente desabilitada.
Ao aplicar engenharia reversa nos componentes 3D do Office, os pesquisadores descobriram que a Microsoft usou várias APIs do SketchUp C para permitir que os programas analisassem um arquivo SKP. Isso os levou primeiro à descoberta de 20 falhas e depois a outras 97 falhas.
A Microsoft classificou todas elas sob um guarda-chuva de “execução de código remoto” (RCE) e as agrupou em três CVEs (Common Vulnerabilities and Exposures), que são listas de registro de ameaças e vulnerabilidades identificadas em softwares. São elas: CVE-2023-28285, CVE-2023-29344 e CVE-2023-33146. Todos são rotulados como “alta gravidade”, cuja pontuação chega a 7,8.
Em entrevista ao TechTarget, o pesquisador sênior de segurança da Zscaler, Kai Lu, disse que a empresa não encontrou evidências de que as falhas tenham sido exploradas no mundo real. Ele acrescentou que isso pode mudar a qualquer momento.
Há a possibilidade de que um ator de ameaça habilidoso possa descobrir e usar as mesmas (ou similares) vulnerabilidades. A decisão de desativar temporariamente o suporte para o SketchUp impedirá a exploração das versões que foram corrigidas e limitará o impacto potencial.
Kai Lu, pesquisador sênior de segurança da Zscaler
A Microsoft desativou o suporte para o SketchUp, segundo o SC Media, porque os pesquisadores conseguiram contornar as correções que ela publicou.
“A Microsoft criou uma correção para lidar com as vulnerabilidades que o ThreatLabz conseguiu contornar”, diz o blog da ZScaler, sem entrar em mais detalhes. A empresa afirmou que o relatório era apenas o primeiro de uma série.
Por outro lado, a Microsoft informou ao TechTarget que seus clientes “estão protegidos desde junho, quando esse recurso foi desativado temporariamente” e acrescentou que os clientes devem verificar o status do SketchUp em sua página dedicada.
O post Microsoft 365: atualização abre mais de 100 brechas de segurança apareceu primeiro em Olhar Digital.
