A adição do SketchUp – ferramenta de modelagem 3D – ao Microsoft 365 (antigo Office 365) abriu mais de cem vulnerabilidades, segundo pesquisadores de cibersegurança da Zscaler. E eles afirmam ter conseguido contornar as correções lançadas pela empresa de Bill Gates para fechar essas brechas.

Para quem tem pressa:

  • A adição do SketchUp, uma ferramenta de modelagem 3D, ao Microsoft 365 abriu mais de cem vulnerabilidades de segurança, segundo pesquisadores de cibersegurança da Zscaler;
  • As vulnerabilidades foram encontradas devido ao suporte do Microsoft 365 a arquivos 3D do SketchUp (.skp) e foram classificadas como “execução de código remoto”, com pontuações de gravidade alta;
  • Ao aplicar engenharia reversa nos componentes 3D do Office, os pesquisadores descobriram inicialmente 20 falhas e, posteriormente, mais 97;
  • A Microsoft desativou temporariamente o suporte para o SketchUp após os pesquisadores conseguirem contornar as correções que a empresa havia publicado;
  • A Microsoft assegura que seus clientes estão protegidos desde junho, quando o suporte ao SketchUp foi temporariamente desativado, e sugere que os clientes verifiquem o status do SketchUp em sua página dedicada.

A equipe de ThreatLabz, da Zscaler, publicou um relatório no qual afirma ter encontrado 117 vulnerabilidades nos aplicativos do Microsoft 365, todas devido ao suporte do antigo Office a arquivos 3D do SketchUp (em formato .skp).

Leia mais:

SketchUp e as vulnerabilidades no Microsoft 365

microsoft 365
(Imagem: Wachiwit/Shutterstock)

O programa, lançado em agosto de 2000, permite que os usuários criem modelos 3D para projetos para áreas como arquitetura, engenharia civil e design industrial. Em 2022, a Microsoft anunciou que daria para integrar arquivos do SketchUp a documentos do Word, Excel, PowerPoint e Outlook. Um ano depois, a empresa informou que a integração tinha sido temporariamente desabilitada.

publicidade

Ao aplicar engenharia reversa nos componentes 3D do Office, os pesquisadores descobriram que a Microsoft usou várias APIs do SketchUp C para permitir que os programas analisassem um arquivo SKP. Isso os levou primeiro à descoberta de 20 falhas e depois a outras 97 falhas.

A Microsoft classificou todas elas sob um guarda-chuva de “execução de código remoto” (RCE) e as agrupou em três CVEs (Common Vulnerabilities and Exposures), que são listas de registro de ameaças e vulnerabilidades identificadas em softwares. São elas: CVE-2023-28285, CVE-2023-29344 e CVE-2023-33146. Todos são rotulados como “alta gravidade”, cuja pontuação chega a 7,8.

Em entrevista ao TechTarget, o pesquisador sênior de segurança da Zscaler, Kai Lu, disse que a empresa não encontrou evidências de que as falhas tenham sido exploradas no mundo real. Ele acrescentou que isso pode mudar a qualquer momento.

Há a possibilidade de que um ator de ameaça habilidoso possa descobrir e usar as mesmas (ou similares) vulnerabilidades. A decisão de desativar temporariamente o suporte para o SketchUp impedirá a exploração das versões que foram corrigidas e limitará o impacto potencial.

Kai Lu, pesquisador sênior de segurança da Zscaler

A Microsoft desativou o suporte para o SketchUp, segundo o SC Media, porque os pesquisadores conseguiram contornar as correções que ela publicou.

“A Microsoft criou uma correção para lidar com as vulnerabilidades que o ThreatLabz conseguiu contornar”, diz o blog da ZScaler, sem entrar em mais detalhes. A empresa afirmou que o relatório era apenas o primeiro de uma série.

Por outro lado, a Microsoft informou ao TechTarget que seus clientes “estão protegidos desde junho, quando esse recurso foi desativado temporariamente” e acrescentou que os clientes devem verificar o status do SketchUp em sua página dedicada.