117 ευπάθειες επηρεάζουν τους χρήστες του Microsoft 365

By

Marizas Dimitris

On

Νοέ 7, 2023

Τι πρέπει να ξέρετε

Η εταιρεία κυβερνοασφάλειας Zscaler ανακάλυψε 117 ευπάθειες που επηρεάζουν τη σουίτα

Microsoft

365, επισημαίνοντας το SketchUp ως τη βασική αιτία αυτών των προβλημάτων.
Η Microsoft εξέδωσε ενημερώσεις κώδικα για αυτά τα ζητήματα, αλλά οι ερευνητές ισχυρίζονται ότι θα μπορούσαν να παρακάμψουν τις διορθώσεις.
Το SketchUp είναι προσωρινά απενεργοποιημένο στη σουίτα

Microsoft 365

, καθώς η Microsoft λειτουργεί με μόνιμη ανάλυση.

Μια αναδυόμενη έκθεση από μια εταιρεία κυβερνοασφάλειας που ονομάζεται Zscaler

αποκάλυψε πάνω από εκατό ευπάθειες στο Microsoft 365

. Η αναφορά αναφέρει περαιτέρω ότι η πρόσφατη έναρξη του SketchUp στην

πλατφόρμα

είναι η βασική αιτία αυτών των προβλημάτων.

Για όσους δεν γνωρίζουν τα αρχεία SketchUp (SKP), είναι μια μορφή αρχείου τρισδιάστατου

μοντέλο

υ που αναπτύχθηκε στις αρχές της δεκαετίας του 2000, αν και η Microsoft την ενσωμάτωσε στα εργαλεία παραγωγικότητας που βασίζονται στο

cloud

πέρυσι.

Οι ερευνητές αποκάλυψαν ότι έψαχναν την πλατφόρμα για μια περίοδο τριών μηνών. Ήταν κατά τη διάρκεια αυτής της περιόδου που κατάφεραν να εντοπίσουν 117 μοναδικά τρωτά σημεία και ελαττώματα ασφαλείας που επηρεάζουν τις εφαρμογές του Microsoft 365.

Οι ενημερώσεις κώδικα της Microsoft δεν λειτούργησαν

Παραδόξως, η Microsoft εξέδωσε ενημερώσεις κώδικα για αυτά τα ελαττώματα μόλις αντιμετώπισε την κατάσταση, αλλά παρόλα αυτά, η ομάδα του Zscaler ThreatLabz ισχυρίζεται ότι θα μπορούσαν να παρακάμψουν τις διορθώσεις. Κατά συνέπεια, αυτό ανάγκασε τη Microsoft να απενεργοποιήσει την υποστήριξη για το SketchUp τον Ιούνιο του 2023 ως προσωρινό μέτρο για να αποτρέψει την έξοδο του ζητήματος εκτός ελέγχου. Ωστόσο, η υποστήριξη για το SketchUp παραμένει απενεργοποιημένη στη σουίτα Microsoft 365, γεγονός που θα μπορούσε να υποδεικνύει ότι η εταιρεία εξακολουθεί να εργάζεται για μια επιδιόρθωση για το πρόβλημα.

Η ομάδα του Zscaler ThreatLabz αποκάλυψε ότι ανακάλυψε κατά την αντίστροφη μηχανική των στοιχείων του Office 3D. Η εμβάθυνση στα στοιχεία τους επέτρεψε να ανακαλύψουν ότι η Microsoft χρησιμοποιούσε πολλαπλά SketchUp C API για να επιτρέψει στα προγράμματα να δημιουργήσουν ένα αρχείο SKP. Η έρευνα ανακάλυψε αμέσως 20 ελαττώματα, ακολουθούμενα από άλλα 97 που κυμαίνονται από την υπερχείλιση του buffer εκτός ορίων έως τη στοίβα και, τέλος, τα τρωτά σημεία υπερχείλισης του buffer σωρού.

Πόσο διαδεδομένο είναι το θέμα;

Ενώ μιλούσε σε

TechTarget

, ο ανώτερος κύριος ερευνητής ασφάλειας του Zscaler, Kai Lu, αποκάλυψε ότι τα τρωτά σημεία δεν είχαν ακόμη διερευνηθεί στη φύση. Ωστόσο, υπάρχει πιθανότητα αυτό να μην συμβαίνει εάν η Microsoft δεν καταλήξει σε μόνιμη επίλυση σύντομα.

Υπάρχει η πιθανότητα ένας έμπειρος παράγοντας απειλών να ανακαλύψει και να οπλίσει τα ίδια (ή παρόμοια) τρωτά σημεία. Η απόφαση για προσωρινή απενεργοποίηση της υποστήριξης για το SketchUp θα αποτρέψει την εκμετάλλευση για εκδόσεις που έχουν επιδιορθωθεί και θα περιορίσει τον πιθανό αντίκτυπο.

Η κατάσταση SketchUp στη σουίτα Microsoft 365 παραμένει απενεργοποιημένη, αν και η Microsoft εργάζεται για μια επιδιόρθωση του προβλήματος και ζητά από τους χρήστες να παρακολουθούν την κατάσταση του SketchUp στην ειδική σελίδα της.

VIA:

WindowsCentral

Παρόμοια άρθρα