Ne bilmek istiyorsun
- Siber güvenlik firması Zscaler, Microsoft 365 paketini etkileyen 117 güvenlik açığı keşfetti ve bu sorunların temel nedeninin SketchUp olduğunu belirledi.
- Microsoft bu sorunlar için yamalar yayınladı ancak araştırmacılar yine de düzeltmeleri atlayabileceklerini iddia ediyor.
- Microsoft kalıcı bir çözüm üzerinde çalıştığından SketchUp, Microsoft 365 paketinde geçici olarak devre dışı bırakıldı.
Zscaler adlı bir siber güvenlik firması tarafından ortaya çıkan bir rapor, Microsoft 365’te yüzden fazla güvenlik açığı ortaya çıktı. Raporda ayrıca SketchUp’ın yakın zamanda platforma dahil edilmesinin bu sorunların temel nedeni olduğu belirtiliyor.
SketchUp (SKP) dosyalarına aşina olmayanlar için, bunlar 2000’li yılların başında geliştirilen bir 3D model dosya formatıdır, ancak Microsoft bunu geçen yıl bulut tabanlı üretkenlik araçlarına entegre etmiştir.
Araştırmacılar, platformu üç aydır incelediklerini açıkladı. Bu süre zarfında Microsoft 365 uygulamalarını etkileyen 117 benzersiz güvenlik açığını ve güvenlik açığını tespit edebildiler.
Microsoft’un yamaları işe yaramadı
Garip bir şekilde Microsoft, durumu öğrendiğinde bu kusurlar için yamalar yayınladı ancak yine de Zscaler ThreatLabz ekibi düzeltmeleri atlayabileceklerini iddia ediyor. Sonuç olarak bu durum Microsoft’u, sorunun kontrolden çıkmasını önlemek için geçici bir önlem olarak Haziran 2023’te SketchUp desteğini devre dışı bırakmaya zorladı. Ancak Microsoft 365 paketinde SketchUp desteği devre dışı kalıyor ve bu da şirketin hala soruna yönelik bir düzeltme üzerinde çalıştığını gösteriyor olabilir.
Zscaler ThreatLabz ekibi, Office 3D bileşenlerine tersine mühendislik uygularken keşfettiğini açıkladı. Bileşenleri daha derinlemesine incelemek, Microsoft’un programların bir SKP dosyasını değerlendirmesine izin vermek için birden fazla SketchUp C API’si kullandığını keşfetmelerine olanak sağladı. Araştırma anında 20 kusur keşfetti, bunu sınır dışı yazmadan yığın arabellek taşmasına ve son olarak yığın arabellek taşması güvenlik açıklarına kadar değişen 97 kusur daha takip etti.
Sorun ne kadar yaygın?
Konuşurken TechTargetZscaler’in kıdemli baş güvenlik araştırmacısı Kai Lu, güvenlik açıklarının henüz vahşi doğada keşfedilmediğini açıkladı. Yine de Microsoft’un yakın zamanda kalıcı bir çözüme varmaması durumunda durumun böyle olmama ihtimali var.
Yetenekli bir tehdit aktörünün aynı (veya benzer) güvenlik açıklarını keşfedip silah haline getirme olasılığı vardır. SketchUp desteğini geçici olarak devre dışı bırakma kararı, yama uygulanmış sürümlerin kötüye kullanılmasını önleyecek ve olası etkiyi sınırlandıracaktır.
Microsoft 365 paketindeki SketchUp durumu devre dışı kalmaya devam ediyor, ancak Microsoft soruna yönelik bir düzeltme üzerinde çalışıyor ve kullanıcılardan SketchUp’ın durumunu özel sayfasında takip etmelerini istiyor.