A inclusão do SketchUp - ferramenta de modelagem 3D - no Microsoft 365 (antigo Office 365) resultou em mais de cem vulnerabilidades, de acordo com pesquisadores de segurança cibernética da Zscaler.
Eles alegam ter conseguido burlar as correções feitas pela empresa de Bill Gates para fechar essas falhas.
O foco da Zscaler, a equipe da ThreatLabz, publicou um relatório afirmando que encontraram 117 vulnerabilidades nos aplicativos do Microsoft 365, todas por causa do suporte do antigo Office para os arquivos 3D do SketchUp (no formato .skp).
Leia mais:
O software, lançado em agosto de 2000, permite que os usuários criem modelos 3D para projetos em áreas como arquitetura, engenharia civil e design industrial.
Em 2022, a Microsoft anunciou que seria possível integrar arquivos do SketchUp a documentos do Word, Excel, PowerPoint e Outlook.
Um ano depois, a empresa informou que a integração havia sido desabilitada temporariamente.
Ao aplicar engenharia reversa nos componentes 3D do Office, os pesquisadores descobriram que a Microsoft utilizou várias APIs do SketchUp C para permitir que os programas analisassem um arquivo SKP.
Isso os levou primeiro à descoberta de 20 falhas e, depois, a outras 97.
A Microsoft categorizou todas como "execução de código remoto" (RCE) e as agrupou em três CVEs (Common Vulnerabilities and Exposures), que são listas de registro de ameaças e vulnerabilidades identificadas nos softwares:
CVE-2023-28285
,
CVE-2023-29344
e
CVE-2023-33146
.
Todas foram classificadas como de "alta gravidade", com uma pontuação de até 7,8.
Em entrevista à TechTarget, o pesquisador sênior de segurança da Zscaler, Kai Lu, disse que a empresa não encontrou evidências de que as falhas tenham sido exploradas na realidade.
Ele acrescentou que isso pode mudar a qualquer momento.
A Microsoft desativou o suporte para o SketchUp, conforme o SC Media, porque os pesquisadores conseguiram burlar as correções que ela havia publicado.
"A Microsoft elaborou uma correção para tratar as vulnerabilidades que o ThreatLabz conseguiu burlar", afirmou o blog da Zscaler, sem fornecer mais detalhes.
A empresa declarou que esse relatório é apenas o primeiro de uma série.
Por outro lado, a Microsoft informou à TechTarget que seus clientes "estão protegidos desde junho, quando esse recurso foi desativado temporariamente" e acrescentou que os clientes devem verificar o status do SketchUp em sua própria página dedicada.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...