Zscaler, uma empresa de segurança, divulgou a descoberta de um total de 117 vulnerabilidades no Microsoft 365 Apps, decorrentes do suporte da Microsoft para arquivos de modelo 3D do SketchUp (SKP). Essa revelação despertou preocupações, já que o Microsoft 365 é uma das suítes de produtividade mais amplamente utilizadas em todo o mundo.
Os arquivos SketchUp (SKP) são formatos de arquivo de modelo 3D que tiveram sua origem em 2000, sendo inicialmente associados ao software de modelagem 3D, SketchUp Software. No entanto, em um movimento de aprimoramento da funcionalidade de modelagem 3D, a Microsoft incorporou o suporte para arquivos SKP ao componente Office 3D do Microsoft 365 no ano passado.
Isso se mostrou um marco importante na trajetória da segurança cibernética, uma vez que abriu a porta para a identificação de vulnerabilidades que até então não haviam sido descobertas. A equipe de pesquisa ThreatLabz da Zscaler conduziu uma análise aprofundada das vulnerabilidades.
A descoberta das vulnerabilidades pelo Zscaler
A busca por vulnerabilidades teve início com a análise do componente Office 3D dos aplicativos Microsoft 365. Esse componente permitia que os usuários inserissem modelos 3D em documentos da Microsoft. Durante esse processo, os pesquisadores da Zscaler identificaram o uso de APIs do SketchUp C pela Microsoft para implementar a funcionalidade de análise de arquivos SKP.
Usando essa API, documentação de acesso público e milhares de amostras de arquivos SKP, os pesquisadores criaram chicotes de difusão. Esses chicotes foram, posteriormente, integrados à ferramenta de difusão do Windows WinAFL.
Um dos desafios iniciais encontrados foi um problema de tempo limite no Office 3D, que acabou levando à descoberta de 20 vulnerabilidades em um período de um mês. Essas vulnerabilidades incluíam questões críticas, como heap buffer overflow (estouro de buffer de pilha), gravação fora dos limites e falhas de stack buffer overflow (estouro de buffer de pilha). As análises posteriores mostraram que os arquivos SKP eram compatíveis com tipos de dados do Microsoft Foundation Class e o formato de arquivo Ventuz. Além disso, eles se integraram às APIs de uma biblioteca de código aberto chamada FreeImage, que não recebia atualizações desde 2018. Todas essas descobertas adicionais resultaram na identificação de mais 97 vulnerabilidades em apenas dois meses.
Resposta da Microsoft e medidas adotadas
Diante da gravidade das vulnerabilidades encontradas, a Microsoft tomou medidas imediatas. As vulnerabilidades foram agrupadas em três CVEs (Common Vulnerabilities and Exposures – Vulnerabilidades e Exposições Comuns): CVE-2023-28285, CVE-2023-29344 e CVE-2023-33146. Todas essas vulnerabilidades foram classificadas como “vulnerabilidades de execução remota de código” e receberam pontuações CVSS (Common Vulnerability Scoring System – Sistema de Pontuação de Vulnerabilidade Comum) consideráveis, com uma classificação de “alta gravidade” de 7,8.
Além disso, a Microsoft disponibilizou patches para corrigir essas vulnerabilidades, garantindo que eles estejam acessíveis a todos os usuários do Microsoft 365 Apps. Como medida de precaução, a empresa desativou temporariamente o suporte para o formato de arquivo SketchUp no Office.
Potenciais riscos e exploração das vulnerabilidades
Kai Lu, pesquisador sênior de segurança da Zscaler, afirmou ao TechTarget que, até o momento, não houve evidências de exploração dessas vulnerabilidades. No entanto, ele enfatizou que não se pode subestimar a possibilidade de que atores de ameaça qualificados possam descobrir e explorar as mesmas ou similares vulnerabilidades. Portanto, a decisão da Microsoft de desativar temporariamente o suporte ao SketchUp visa impedir a exploração de versões que já foram corrigidas e limitar o potencial impacto.