من فضلك تسجيل الدخول أو تسجيل لتفعل ذلك.

(حقوق الصورة: مايكروسوفت)

اكتشف باحثو الأمن السيبراني من Zscaler أكثر من مائة نقطة ضعف في مايكروسوفت 365 التي تم تقديمها مع إضافة SketchUp إلى مجموعة الإنتاجية السحابية.

ومما زاد الطين بلة أنهم يزعمون أنهم تمكنوا من تجاوز التصحيحات التي أصدرتها Microsoft لمعالجة هذه العيوب.

لقد نشر فريق Zscaler’s ThreatLabz تقرير يدعي أنه عثر على 117 نقطة ضعف في تطبيقات Microsoft 365، كل ذلك بسبب مجموعة الإنتاجية التي تدعم ملفات SketchUp 3D – SKP.

الحلول التجاوزية

في جوهره، يسمح البرنامج للمستخدمين بإضافة نماذج ثلاثية الأبعاد إلى مستندات ميكروسوفت وتم تقديمه لأول مرة في أغسطس 2000. وفي العام الماضي، تم دمجه في مكتب مايكروسوفت 365 مكون ثلاثي الأبعاد.

من خلال الهندسة العكسية لمكونات Office ثلاثية الأبعاد، اكتشف الباحثون أن Microsoft استخدمت واجهات برمجة تطبيقات SketchUp C المتعددة للسماح للبرامج بتحليل ملف SKP. وقد قادهم ذلك أولاً إلى اكتشاف 20 عيبًا، ثم إلى 97 عيبًا آخر. معظمها عبارة عن ثغرات تجاوز سعة المخزن المؤقت للكومة، أو الكتابة خارج الحدود، أو ثغرات أمنية لتجاوز سعة المخزن المؤقت.

وضعت Microsoft كل هذه العناصر تحت مظلة “تنفيذ التعليمات البرمجية عن بعد” (RCE) وقامت بتجميعها في ثلاثة رموز CVE: CVE-2023-28285، وCVE-2023-29344، وCVE-2023-33146. تم تصنيف الثلاثة جميعًا على أنها “شديدة الخطورة” بدرجة خطورة تبلغ 7.8.

يتحدث الى TechTargetوقال كاي لو، كبير الباحثين الأمنيين الرئيسيين في Zscaler، إن الشركة لم تجد أي دليل على استغلال العيوب في البرية. وأضاف أن ذلك قد يتغير في أي وقت.

وقال لو للنشر: “هناك احتمال أن يتمكن ممثل التهديد الماهر من اكتشاف نقاط الضعف نفسها (أو ما شابهها) واستخدامها كسلاح”. “إن قرار تعطيل دعم SketchUp مؤقتًا سيمنع استغلال الإصدارات التي تم تصحيحها ويحد من التأثير المحتمل.”

وأضافت شركة SC Media أن Microsoft قامت بتعطيل دعم SketchUp، لأن الباحثين تمكنوا من التغلب على التصحيحات التي نشرتها.

“أنشأت Microsoft تصحيحًا لمعالجة الثغرات الأمنية التي تمكنت ThreatLabz من تجاوزها”، كما جاء في مدونة ZScaler، دون الخوض في مزيد من التفاصيل. وقالت الشركة أن التقرير كان الأول فقط في سلسلة، لذلك يمكننا أن نتوقع المزيد من التفاصيل في الأيام المقبلة.

من ناحية أخرى، أخبرت Microsoft موقع TechTarget أن عملائها “تمت حمايتهم منذ يونيو عندما تم تعطيل هذه الميزة مؤقتًا” وأضافت أنه يجب على العملاء عرض حالة SketchUp على صفحتها المخصصة.

المزيد من TechRadar Pro

قم بالتسجيل في النشرة الإخبارية TechRadar Pro للحصول على أهم الأخبار والآراء والميزات والإرشادات التي يحتاجها عملك لتحقيق النجاح!

سياد صحفي مستقل متمرس يقيم في سراييفو، البوسنة والهرسك. يكتب عن تكنولوجيا المعلومات (السحابة، إنترنت الأشياء، 5G، VPN) والأمن السيبراني (برامج الفدية، وانتهاكات البيانات، والقوانين واللوائح). في حياته المهنية، التي امتدت لأكثر من عقد من الزمان، كتب للعديد من وسائل الإعلام، بما في ذلك قناة الجزيرة البلقان. وقد أجرى أيضًا عدة وحدات حول كتابة المحتوى لشركة Represent Communications.

اقرأ أكثر

أفضل منشئي صفحات السحب والإفلات في WordPress
تجني Google الأموال من iPhone حتى لو لم يكن محرك البحث الافتراضي لشركة Apple

Reactions

0
0
0
0
0
0
بالفعل كان رد فعل لهذا المنصب.

ردود الفعل