Microsoft Temporarily Disables SketchUp Support After Discovery of 117 Vulnerabilities
2023/11/02 SecurityWeek — Microsoft 365 アプリケーションに、SketchUp (SKP) ファイルのサポートが追加された後に、117 件のユニークな脆弱性が発見されたと、Zscaler の ThreatLabz 調査チームが指摘している。Microsoft 365 の 3D コンポーネントの一部として、2022年6月に導入された SKP ファイル形式により、プレゼンテーションの作成とデータの視覚化において、多様な 3D ファイル形式の取り扱いが可能になった。この独自のファイル形式は、2000年から存在している。世界でもトップクラスの建築ソフトウェアである SketchUp は、そこに 3D モデルの作成に必要な情報を保存している。
Office の “挿入” メニューで “3D モデル” を指定し、目的のファイルを選択することで、SKP ファイルの取り込みが完了する。そして、Microsoft 365 アプリに挿入されたファイルは、SketchUp SDK の API を介して解析されていく。
Microsoft 365 が SKP ファイルを解析する最中に、複数の SketchUp API とラッパー関数が呼び出されていることを、 Zscaler は発見した。
このチームはファジングを通じて、ヒープバッファ・オーバーフロー/整数オーバーフロー/境界外書き込み/スタックバッファ・オーバーフロー/タイプ・コンヒュージョン/解放済みメモリ使用などの、合計で 20件のセキュリティ脆弱性を特定した。
さらに調査を進めると、SKP ファイルに画像が埋め込まれている場合において、サードパーティ製ライブラリ FreeImage を利用して、それらを解析していることが判明した。
この FreeImage は、2018年以降において更新が行われていない。Zscaler はファジングを介して、FreeImage に 97件のユニークな脆弱性が存在することを特定し、Microsoft 365 で再現することにも成功した。
一連の脆弱性を悪用する攻撃者にとって必要なことは、対象となるユーザーを騙して、特別に細工された SketchUp ファイルを開かせることだ。
これらの脆弱性を追跡するために、Microsoft は3件の CVE-2023-28285/CVE-2023-29344/CVE-2023-33146 を発行し、リモートコード実行 (RCE) バグとしてマークし、4月/5月/6月にパッチをリリースしている。
しかし、Zscaler はパッチのバイパスに成功している。その結果として Microsoft は、 SketchUp ファイル・フォーマットのサポートを一時的に無効化したという。
Microsoft 365 – SketchUp というつながりと、Microsoft 365 – SketchUp – FreeImage というつながりで、サプライチェーン攻撃にいたる可能性のある、117 件ものユニークな脆弱性が発見されたとのことです。すでに、Microsoft による SketchUp の無効化が済んでいるようなので、ちょっと安心ですが、悪用が発生していない可能性がゼロというわけではありません。この記事を訳していて、2023/02/01 の「サプライチェーン調査:3rd パーティーから 4th パーティーへの可視化の拡大が不可欠」と、2023/03/01 の「SaaS 内の資産は混乱している:3rd/4th パーティとの共有状況を定量化する」を思い出しました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.