Ryan Seguin, Research Engineer chez Tenable propose l’analyse suivante :

« Les vulnérabilités d’Autodesk ADSK-SA-2020-0002 sont des failles de déni de service (DDoS) et d’exécution de code arbitraire dans la bibliothèque FBX.

Si exploitées, ces vulnérabilités pourraient permettre à un attaquant d’exécuter du code sur un système affecté avec les mêmes autorisations utilisateur que celles de la personne ayant ouvert le fichier malveillant. Cela signifie que les utilisateurs disposant de moins de privilèges limitent l’impact de l’exploitation. La menace change considérablement si une personne disposant de droits d’administration ouvre le fichier malveillant, car cela permettrait au cybercriminel d’obtenir des autorisations à privilèges.

Autodesk a déjà publié des mises à jour pour ses produits concernés, tandis que Microsoft a publié une page d’avis en dehors du Patch Tuesday confirmant la mise à disposition des correctifs en temps voulu pour les produits MS Office concernés. Microsoft a identifié cela comme une vulnérabilité d’exécution de code à distance ; cependant, il est important de noter que cette vulnérabilité requiert qu’un utilisateur ouvre un fichier malveillant, ce qui n’est pas une exécution à distance.

Pour ceux qui s’interrogent sur la raison pour laquelle une vulnérabilité d’Autodesk affecte Microsoft, il ne s’agit en aucun cas de mauvaises pratiques de sécurité de la part de l’éditeur. Ces vulnérabilités interviennent généralement lors d’intégration d’outils et de code issus d’un autre groupe ; si elles sont déjà présentes dans les outils, elles sont alors intégrées par défaut dans le produit - dans ce cas, Microsoft Office, Office 365 ProPlus, et Paint 3D. Microsoft n’a pas communiqué de calendrier pour la publication de ses correctifs, mais si cet avis suit le même modèle que les précédents, une version de correctif devrait paraitre dans le Patch Tuesday du mois de mai. »