Recientemente otkrivena je greška pronađena u popularnom uredskom paketu LibreOffice Ova je ranjivost katalogizirana u CVE-2019-9848. Ova greška pronađena se se može koristiti za izvršavanje proizvoljnog koda prilikom otvaranja unaprijed pripremljenih dokumenata od strane zlonamjerne osobe, a zatim ih u osnovi distribuira i pričeka da žrtva izvrši te dokumente.
Ranjivost je uzrokovana činjenicom da je komponenta LibreLogo, dNamijenjen poučavanju programiranja i umetanju vektorskih crteža, prevodi svoje operacije u Python kod. Imajući mogućnost izvršavanja LibreLogo uputa, napadač može izvršiti bilo koji Python kod u kontekstu trenutne korisničke sesije, koristeći naredbu "trčanje" koja je osigurana u LibreLogo. Iz Pythona, koristeći system (), pak možete pozivati proizvoljne sistemske naredbe.
Kao što je opisala osoba koja je prijavila ovu grešku:
Makronaredbe isporučene s LibreOfficeom izvode se bez poticanja korisnika, čak i pri najvišim sigurnosnim postavkama makronaredbi. Stoga, da postoji makronaredba sustava LibreOffice s pogreškom koja omogućuje izvršavanje koda, korisnik ne bi ni primio upozorenje i kôd bi se odmah izvršio.
O presudi
LibreLogo je neobavezna komponenta, ali u LibreOffice makronaredbe su zadane, dopuštajući poziv LibreLogo i ne zahtijevaju potvrdu rada i ne prikazuju upozorenje, čak i kad je omogućen način maksimalne zaštite za makronaredbe (odabir razine "Vrlo visoka").
Za napad možete takvu makronaredbu pridružiti obrađivaču događaja koji se aktivira, na primjer, kada zadržite miš iznad određenog područja ili kada aktivirate fokus unosa na dokument (događaj onFocus).
Ovdje je veliki problem što kod nije dobro preveden i pruža samo python kôd, jer kod skripte često rezultira istim kodom nakon prevođenja.
Kao rezultat toga, kada otvorite dokument koji je pripremio napadač, možete postići skriveno izvršavanje Python koda, nevidljivog korisniku.
Na primjer, u demonstriranom primjeru iskorištavanja, kada otvorite dokument bez upozorenja, pokreće se sistemski kalkulator.
I to je nije prva prijavljena greška u kojoj se iskorištavaju događaji u uredskom apartmanu od godine prije nekoliko mjeseci otkriven je još jedan slučaj gdje je u verzijama 6.1.0-6.1.3.1 pokazuje se da je ubrizgavanje koda je moguće u verzijama Linuxa i Windowsa kada korisnik pređe mišem preko zlonamjernog URL-a.
Budući da na isti način kada je ranjivost iskorištena, nije generirala nijednu vrstu dijaloga upozorenja. Čim korisnik zadrži miš iznad zlonamjernog URL-a, kôd se pokreće odmah.
S druge strane, upotreba Pythona unutar paketa također je otkrila slučajeve iskorištavanja programskih pogrešaka gdje paket izvršava proizvoljan kôd bez ograničenja ili upozorenja.
Ovime ljudi LibreOffice imaju izvrstan zadatak pregledati ovaj dio u paketu jer postoji nekoliko poznatih slučajeva koji to koriste.
Ranjivost je otklonjena bez davanja dodatnih detalja o tome ili o informacijama o tome u ažuriranju 6.2.5 iz LibreOfficea, objavljen 1. srpnja, ali pokazalo se da problem nije u potpunosti riješen (blokiran je samo poziv LibreLogo iz makronaredbi), a neki drugi vektori za provođenje napada ostali su neispravljeni.
Također, problem nije riješen u verziji 6.1.6 koja se preporučuje korporativnim korisnicima. Potpuna eliminacija ranjivosti planira se u izdanju LibreOffice 6.3, koje se očekuje sljedeći tjedan.
Prije puštanja potpunog ažuriranja, korisnicima se savjetuje da eksplicitno onemoguće komponentu LibreLogo, koja je prema zadanim postavkama dostupna u mnogim paketima. Ranjivost je djelomično ispravljena u Debianu, Fedori, SUSE / openSUSE i Ubuntuu.
izvor: https://insinuator.net/