Investigadores descobrem mais de uma centena de vulnerabilidades no Microsoft 365

By | 09/11/2023

Se utiliza as aplicações da Microsoft 365, talvez seja melhor ter em atenção as possíveis falhas de segurança associadas com as mesmas. Os investigadores da empresa de segurança Zscaler revelaram recentemente a existência de mais de 100 vulnerabilidades nas aplicações do Microsoft 365. Estas falhas terão surgido depois da empresa ter adicionado suporte para a SketchUp na sua plataforma.

Segundo os investigadores, foram descobertas 117 vulnerabilidades nas aplicações da Microsoft 365, todas relacionadas com a integração do suporte a ficheiros 3D da SketchUp – SKP. Esta integração permite que os utilizadores possam colocar objetos 3D nos seus documentos, e foi inicialmente lançada em Agosto de 2000 – muito antes do Microsoft 365 existir. No entanto, o ano passado a Microsoft começou a integrar este componente ao Office 3D do Microsoft 365, abrindo as portas das vulnerabilidades.

Investigadores descobrem mais de uma centena de vulnerabilidades no Microsoft 365

Ao analisarem esta integração, os investigadores apontam ter descoberto que a Microsoft estaria a usar várias APIs do SketchUp C para abrir e recolher dados dos ficheiros SKP. A forma como este processamento é realizado será o que permite que as falhas sejam executadas no sistema.

A Microsoft colocou todas as falhas identificadas como sendo de execução remota de código, e tendo uma gravidade de 7.8 em 10. No entanto, a empresa indica que não foram descobertos indícios de que as falhas sejam do conhecimento público, e que estejam a ser ativamente exploradas.

Na altura em que a empresa estaria a lançar as atualizações para estas vulnerabilidades, a empresa teve mesmo de desativar o suporte a SketchUp, porque mesmo com correções as falhas ainda poderiam ser exploradas. Os investigadores afirmam que a Microsoft aplicou rapidamente as correções, mas que mesmo assim os investigadores da empresa de segurança conseguiram contornar as mesmas, executando o código malicioso. Por sua vez, a Microsoft afirma que as falhas foram corrigidas em Junho, quando a funcionalidade de suporte ao SketchUp foi temporariamente desativada.

(TT)