Microsoft 365 Apps, eine Suite von Produktivitätswerkzeugen von Microsoft, wurde kürzlich von Sicherheitslücken heimgesucht. Das Paket umfasst weit verbreitete Anwendungen wie Microsoft Teams, OneDrive, SharePoint, PowerPoint, Outlook, Word, Excel, Microsoft Office, OneNote, Access, Publisher, Exchange Server, Skype for Business, Power BI, Visio, Lists, Yammer, Project und Skype.
Die Schwachstellen wurden aufgedeckt, als Microsoft im Juni 2022 Unterstützung für SketchUp (SKP) Dateien einführte, was zu 117 Sicherheitslücken in den Microsoft 365-Anwendungen führte. Die Bedrohungsforschungsgruppe ThreatLabz entdeckte diese Schwachstellen.
Technische Analyse
Microsoft ordnete den 117 Schwachstellen die folgenden CVE-IDs zu: CVE-2023-28285, CVE-2023-29344 und CVE-2023-33146. Die Einführung der SketchUp-Dateiunterstützung brachte neue Sicherheitsrisiken mit sich. Die Forscher nutzten Reverse Engineering und dynamisches Debugging, um Schwachstellen im SKP-Format in der Version 16.0.16026.20000 (Januar 2023) zu identifizieren.
Microsoft behebte einige der von Zscaler entdeckten Schwachstellen in den Versionen April und Mai 2023. Eine Analyse ergab jedoch, dass der Patch für CVE-2023-29344 umgangen werden konnte, was Microsoft mit CVE-2023-33146 beantwortete. Dies führte dazu, dass Microsoft die Einfügung von SketchUp-Dateien in Office-Dokumente vorübergehend deaktivierte.
Reale Fälle
Zu den realen Sicherheitsproblemen gehörten Schwachstellen wie:
- Microsoft Office SKP-Datei-Parsing
CVertex
Objekt-Nutzung nach Freigabe - Integer-Überlauf in Microsoft Office SKP-Datei-Parsing TIFF-Bild
- Uninitialisierter Speicher in Microsoft Office SKP-Datei-Parsing
- Microsoft Office SKP-Datei-Parsing BMP-Bild Speicherüberschreibung
- Microsoft Office SKP-Datei-Parsing PICT-Bild Speicherüberschreibung
Empfehlungen
Die Forscher empfehlen, Sicherheitsaudits zu priorisieren, Blackbox-Fuzzing für Drittanbieterbibliotheken durchzuführen, um Schwachstellen zu vermeiden, und Microsoft 365-Apps stets auf dem neuesten Stand zu halten.