Οι εφαρμογές του Microsoft 365 έχουν πολλά νέα τρωτά σημεία ασφαλείας – ορίστε τι γνωρίζουμε

Ερευνητές κυβερνοασφάλειας από το Zscaler ανακάλυψαν περισσότερα από εκατό τρωτά σημεία στο

Microsoft 365

που εισήχθησαν με την προσθήκη του SketchUp στη σουίτα παραγωγικότητας cloud.

Για να κάνουν τα πράγματα χειρότερα, ισχυρίζονται ότι κατάφεραν να παρακάμψουν τις ενημερώσεις κώδικα που κυκλοφόρησε η Microsoft για την αντιμετώπιση αυτών των ελαττωμάτων.

Η ομάδα ThreatLabz του Zscaler δημοσίευσε

μια αναφορά

ισχυρίζεται ότι έχει βρει 117 ευπάθειες στις εφαρμογές του Microsoft 365, όλα λόγω της σουίτας παραγωγικότητας που υποστηρίζει αρχεία SketchUp 3D – SKP.

Παρακάμπτονται λύσεις

Ουσιαστικά, το πρόγραμμα επιτρέπει στους χρήστες να προσθέτουν τρισδιάστατα μοντέλα σε έγγραφα της Microsoft και παρουσιάστηκε για πρώτη φορά τον Αύγουστο του 2000. Πέρυσι, ενσωματώθηκε στο στοιχείο Office 3D του Microsoft 365.

Με την αντίστροφη μηχανική των στοιχείων του Office 3D, οι ερευνητές ανακάλυψαν ότι η Microsoft χρησιμοποίησε πολλαπλά SketchUp C API για να επιτρέψει στα προγράμματα να αναλύσουν ένα αρχείο SKP. Αυτό τους οδήγησε πρώτα στην ανακάλυψη 20 ελαττωμάτων και μετά σε άλλα 97 ελαττώματα. Τα περισσότερα είναι ευπάθειες υπερχείλισης buffer σωρού, εγγραφής εκτός ορίων ή υπερχείλισης buffer στοίβας.

Η Microsoft

τοποθέτησε όλα αυτά κάτω από μια ομπρέλα “απομακρυσμένης εκτέλεσης κώδικα” (RCE) και τα ομαδοποίησε σε τρία CVE: CVE: CVE-

2023

-28285, CVE-2023-29344 και CVE-2023-33146. Και οι τρεις χαρακτηρίζονται ως «υψηλής σοβαρότητας» με βαθμολογία σοβαρότητας 7,8.

Μιλώντας σε

TechTarget

, ο ανώτερος κύριος ερευνητής ασφάλειας της Zscaler, Kai Lu, είπε ότι η εταιρεία δεν βρήκε στοιχεία για την εκμετάλλευση των ελαττωμάτων στη φύση. Πρόσθεσε ότι αυτό μπορεί να αλλάξει ανά πάσα στιγμή.

«Υπάρχει πιθανότητα ένας έμπειρος ηθοποιός απειλών να ανακαλύψει και να οπλίσει τα ίδια (ή παρόμοια) τρωτά σημεία», είπε ο Λου στο δημοσίευμα. “Η απόφαση να απενεργοποιηθεί προσωρινά η υποστήριξη για το SketchUp θα αποτρέψει την εκμετάλλευση για εκδόσεις που έχουν διορθωθεί και θα περιορίσει τον πιθανό αντίκτυπο.”

Η Microsoft απενεργοποίησε την υποστήριξη για το SketchUp, πρόσθεσε η SC

Media

, επειδή οι ερευνητές κατάφεραν να επεξεργαστούν τις ενημερώσεις κώδικα που δημοσίευσε.

«Η Microsoft δημιούργησε μια

ενημέρωση

κώδικα για να αντιμετωπίσει τα τρωτά σημεία που το ThreatLabz μπόρεσε να παρακάμψει», αναφέρει το ιστολόγιο ZScaler, χωρίς να υπεισέλθει σε περισσότερες λεπτομέρειες. Η εταιρεία είπε ότι η έκθεση ήταν απλώς η πρώτη σε μια σειρά, οπότε μπορούμε να περιμένουμε περισσότερες λεπτομέρειες τις επόμενες ημέρες.

Η Microsoft, από την άλλη πλευρά, είπε στο TechTarget ότι οι πελάτες της «προστατεύονται από τον Ιούνιο, όταν αυτή η δυνατότητα απενεργοποιήθηκε προσωρινά» και πρόσθεσε ότι οι πελάτες θα πρέπει να βλέπουν την κατάσταση του SketchUp στην ειδική σελίδα της.