Zscaler的网络安全研究人员在Microsoft365中发现了一百多个漏洞,这些漏洞是在将SketchUp添加到云生产力套件时引入的。
更糟糕的是,他们声称已经成功绕过了微软为解决这些缺陷而发布的补丁。
Zscaler的ThreatLabz团队发布了一份报告,声称在Microsoft365应用程序中发现了117个漏洞,这一切都是由于支持SketchUp3D文件的生产力套件-SKP造成的。
本质上,该程序允许用户将3D模型添加到Microsoft文档中,并于2000年8月首次推出。去年,它被集成到Microsoft365的Office3D组件中。
通过对Office3D组件进行逆向工程,研究人员发现Microsoft使用多个SketchUpCAPI来允许程序解析SKP文件。这导致他们首先发现了20个缺陷,然后又发现了另外97个缺陷。大多数是堆缓冲区溢出、越界写入或堆栈缓冲区溢出漏洞。
Microsoft将所有这些都置于“远程代码执行”(RCE)保护之下,并将它们分为三个CVE:CVE:CVE-2023-28285、CVE-2023-29344和CVE-2023-33146。这三者都被标记为“高严重性”,严重性评分为7.8。
Zscaler的高级首席安全研究员KaiLu在接受TechTarget采访时表示,该公司没有发现任何证据表明这些漏洞正在被利用。他补充说,这种情况随时可能发生变化。
卢告诉该出版物:“熟练的威胁行为者有可能发现相同(或类似)的漏洞并将其武器化。”“暂时禁用对SketchUp支持的决定将防止对已修补版本的利用,并限制潜在影响。”
SCMedia补充说,微软禁用了对SketchUp的支持,因为研究人员设法解决了它发布的补丁。
ZScaler博客写道:“微软创建了一个补丁来解决ThreatLabz能够绕过的漏洞”,但没有透露更多细节。该公司确实表示该报告只是系列报告中的第一篇,因此我们可以在未来几天期待更多详细信息。
另一方面,微软告诉TechTarget,其客户“自6月份暂时禁用此功能以来一直受到保护”,并补充说客户应该在其专用页面上查看SketchUp的状态。