Microsoft defende usuários acusados de violar direitos autorais
A Microsoft lançou uma atualização para o Microsoft 365 (antigo Office 365) que adicionou o SketchUp, uma ferramenta de modelagem 3D, à plataforma. No entanto, pesquisadores de cibersegurança da Zscaler descobriram mais de 100 vulnerabilidades relacionadas a essa integração. A Microsoft rapidamente lançou atualizações para corrigir essas brechas e garantir a segurança dos usuários.
Descoberta das vulnerabilidades
Os especialistas da Zscaler identificaram as vulnerabilidades ao analisar o suporte do Microsoft 365 aos arquivos 3D do SketchUp (.skp). Essas vulnerabilidades foram classificadas como “execução de código remoto” e consideradas de alta gravidade.
Desativação temporária do suporte ao SketchUp
Após realizar a engenharia reversa nos componentes 3D do Office, os pesquisadores descobriram inicialmente 20 falhas e, posteriormente, mais 97. Diante disso, a Microsoft optou por desativar temporariamente o suporte ao SketchUp até que as correções necessárias fossem implementadas.
Proteção dos usuários
A Microsoft assegurou que seus clientes estão 100% protegidos desde junho, quando o suporte ao SketchUp foi temporariamente desativado. No entanto, é recomendado que os usuários verifiquem o status da ferramenta em sua página dedicada para garantir a segurança de seus arquivos.
A equipe de ThreatLabs da Zscaler divulgou um relatório detalhando as 117 vulnerabilidades encontradas nos aplicativos do Microsoft 365 relacionadas ao suporte antigo para arquivos 3D do SketchUp. Essas vulnerabilidades foram agrupadas em três CVEs (Common Vulnerabilities and Exposures) e classificadas como de alta gravidade.
Contexto e correções
O SketchUp foi integrado ao Microsoft 365 em 2022, permitindo que os usuários criassem modelos 3D para projetos de arquitetura, engenharia civil e design industrial. Após a descoberta das vulnerabilidades, a Microsoft desativou temporariamente o suporte ao SketchUp e lançou atualizações para corrigir as brechas de segurança.
Embora não tenham sido encontradas evidências de exploração das vulnerabilidades no mundo real, a Zscaler alerta que isso pode mudar a qualquer momento. A Microsoft afirmou ter criado correções para lidar com as vulnerabilidades identificadas, mas não forneceu detalhes específicos. A Zscaler também anunciou que este relatório é apenas o primeiro de uma série sobre o assunto.
