Una settimana dopo la patch di aprile 2020, Microsoft ha rilasciato aggiornamenti di sicurezza fuori banda per la sua suite Office, per correggere una manciata di vulnerabilità che gli aggressori potrebbero sfruttare per ottenere l’esecuzione di codice in modalità remota.
Allo stesso tempo, è stato rilasciato anche un aggiornamento di sicurezza per Paint 3D, l’app gratuita dell’azienda per la creazione di modelli 3D, perché la fonte delle vulnerabilità fisse è qualcosa che Office e Paint 3D hanno in comune: la libreria FBX di Autodesk.Informazioni sulle vulnerabilità
Autodesk – la società dietro il famoso software AutoCAD ma anche una varietà di altre app specializzate utilizzate da architetti, ingegneri, creatori di supporti digitali, produttori, ecc. – ha risolto sei vulnerabilità (da CVE-2020-7080 a CVE-2020-7085) nella sua FBX Software Developer Kit (SDK).
Tutto può essere attivato se un utente viene indotto ad aprire un file FBX dannoso appositamente predisposto e può creare una condizione DoS o far eseguire all’applicazione un codice arbitrario sul sistema sottostante.
Poiché la libreria Autodesk FBX è integrata nelle app MS Office e nell’app Paint 3D, l’elaborazione di contenuti 3D appositamente predisposti può portare all’esecuzione di codice in modalità remota.
“Un utente malintenzionato che ha sfruttato con successo queste vulnerabilità potrebbe ottenere gli stessi diritti dell’utente locale. Gli utenti i cui account sono configurati per avere meno diritti utente sul sistema potrebbero avere un impatto minore rispetto agli utenti che operano con diritti amministrativi utente “, ha spiegato Microsoft.Cosa fare?
Per sfruttare le vulnerabilità, un utente malintenzionato deve inviare un file appositamente predisposto contenente contenuto 3D a un utente e convincerlo ad aprirlo. (Basta visualizzarlo attraverso il riquadro di anteprima non è sufficiente per attivare lo sfruttamento.)
Il fatto che lo sfruttamento richieda l’interazione dell’utente rende le vulnerabilità importanti ma non critiche. Tuttavia, ingannare gli utenti nell’apertura di file casuali è, sfortunatamente, qualcosa che gli aggressori sanno fare bene.
Non ci sono fattori attenuanti o soluzioni alternative per i difetti, quindi gli utenti e gli amministratori sono invitati a implementare gli aggiornamenti forniti, soprattutto se si occupano spesso di file FBX.