Nedavno otkrivena je greška pronađena u popularnom uredskom paketu LibreOffice Ova ranjivost je katalogizirana u CVE-2019-9848. Ova greška pronađena se se može koristiti za izvršavanje proizvoljnog koda prilikom otvaranja unaprijed pripremljenih dokumenata od strane zlonamjerne osobe, a zatim ih u osnovi distribuiraju i čekaju da žrtva izvrši ove dokumente.
Ranjivost je uzrokovana činjenicom da je komponenta LibreLogo, dNamijenjen podučavanju programiranju i umetanju vektorskih crteža, prevodi svoje operacije u Python kod. Imajući mogućnost izvršavanja LibreLogo instrukcija, napadač može izvršiti bilo koji Python kod u kontekstu trenutne korisničke sesije, koristeći naredbu "trčanje" koja je navedena u LibreLogo. Iz Pythona, koristeći system (), zauzvrat možete pozivati proizvoljne sistemske naredbe.
Kao što je opisala osoba koja je prijavila ovu grešku:
Makronaredbe koje se isporučuju s LibreOffice izvode se bez poticanja korisnika, čak i pri najvišim sigurnosnim postavkama makronaredbi. Dakle, ako postoji sistemski makronaredba LibreOffice s greškom koja dopušta pokretanje koda, korisnik ne bi ni dobio upozorenje i kôd bi se odmah pokrenuo.
O presudi
LibreLogo je neobavezna komponenta, ali u LibreOffice makronaredbe su zadane, dopuštajući poziv LibreLogo i ne zahtijevaju potvrdu rada i ne prikazuju upozorenje, čak i kada je omogućen režim maksimalne zaštite za makronaredbe (odabir nivoa "Vrlo visok").
Za napad, takvu makronaredbu možete priložiti obrađivaču događaja koji se aktivira, na primjer, kada zadržite miš iznad određenog područja ili kada aktivirate fokus unosa na dokument (događaj onFocus).
Ovdje je veliki problem što kod nije dobro preveden i pruža samo python kôdjer kod skripte često rezultira istim kodom nakon prevođenja.
Kao rezultat toga, kada otvorite dokument koji je pripremio napadač, možete postići skriveno izvršavanje Python koda, nevidljivo za korisnika.
Na primjer, u demonstriranom primjeru eksploatacije, kada otvorite dokument bez upozorenja, sistemski kalkulator se pokreće.
I to je to nije prva prijavljena greška u kojoj se eksploatišu događaji u uredskom apartmanu od godine prije nekoliko mjeseci otkriven je još jedan slučaj gdje je u verzijama 6.1.0-6.1.3.1 pokazuje se da ubrizgavanje koda je moguće u verzijama Linuxa i Windows-a kada korisnik pređe kursorom preko zlonamjerne URL adrese.
Budući da na isti način kada je ranjivost iskorištena, nije generirala nijednu vrstu dijaloga upozorenja. Čim korisnik pređe mišem preko zlonamjernog URL-a, kôd se pokreće odmah.
S druge strane, upotreba Pythona unutar paketa takođe je otkrila slučajeve eksploatacije grešaka kada paket izvršava proizvoljan kôd bez ograničenja ili upozorenja.
Ovime ljudi iz LibreOffice imaju izvrstan zadatak da pregledaju ovaj dio u paketu, jer postoji nekoliko poznatih slučajeva koji to koriste.
Ranjivost je otklonjena bez davanja dodatnih detalja o tome ili o informacijama o tome u ažuriranju 6.2.5 od LibreOffice, objavljen 1. srpnja, ali pokazalo se da problem nije u potpunosti riješen (blokiran je samo poziv LibreLogo iz makronaredbi), a neki drugi vektori za provođenje napada ostali su neispravljeni.
Također, problem nije riješen u verziji 6.1.6 koja se preporučuje korporativnim korisnicima. Potpuno uklanjanje ranjivosti planirano je u izdanju LibreOffice 6.3, koje se očekuje sljedeće sedmice.
Prije puštanja potpunog ažuriranja, korisnicima se savjetuje da eksplicitno onemoguće komponentu LibreLogo, koja je prema zadanim postavkama dostupna u mnogim paketima. Djelomično je ispravljena ranjivost u Debianu, Fedori, SUSE / openSUSE i Ubuntuu.
Izvor: https://insinuator.net/