Recientemente bug yang ditemukan di suite kantor LibreOffice populer telah terungkap Kerentanan ini dikatalogkan di CVE-2019-9848. Kesalahan ini ditemukan se dapat digunakan untuk mengeksekusi kode arbitrer saat membuka dokumen yang telah disiapkan sebelumnya oleh orang jahat dan kemudian pada dasarnya mendistribusikannya dan menunggu korban untuk mengeksekusi dokumen-dokumen ini.
Kerentanan disebabkan oleh fakta bahwa komponen LibreLogo, dBertujuan untuk mengajar pemrograman dan memasukkan gambar vektor, itu menerjemahkan operasinya ke dalam kode Python. Dengan memiliki kemampuan untuk menjalankan instruksi LibreLogo, penyerang dapat mengeksekusi kode Python apa pun dalam konteks sesi pengguna saat ini, menggunakan perintah "jalankan" yang disediakan di LibreLogo. Dari Python, menggunakan system (), pada gilirannya, Anda dapat memanggil perintah sistem arbitrer.
Seperti yang dijelaskan oleh orang yang melaporkan bug ini:
Makro yang dikirimkan dengan LibreOffice berjalan tanpa meminta pengguna, bahkan pada pengaturan keamanan makro tertinggi. Jadi jika ada makro sistem LibreOffice dengan kesalahan yang memungkinkan kode untuk dijalankan, pengguna bahkan tidak akan mendapatkan peringatan dan kode akan segera dijalankan.
Tentang putusan
LibreLogo adalah komponen opsional, tetapi di LibreOffice makro ditawarkan secara default, memungkinkan untuk memanggil LibreLogo dan tidak memerlukan konfirmasi operasi dan tidak menampilkan peringatan, bahkan ketika mode proteksi maksimum untuk makro diaktifkan (memilih level "Sangat tinggi").
Untuk serangan, Anda dapat memasang makro seperti itu ke pengendali kejadian yang diaktifkan, misalnya, saat Anda mengarahkan mouse ke area tertentu atau saat Anda mengaktifkan fokus input pada dokumen (peristiwa onFocus).
Masalah besar di sini adalah kode tersebut tidak diterjemahkan dengan baik dan hanya menyediakan kode python, karena kode skrip sering menghasilkan kode yang sama setelah terjemahan.
Akibatnya, saat Anda membuka dokumen yang disiapkan oleh penyerang, Anda dapat mencapai eksekusi kode Python yang tersembunyi, tidak terlihat oleh pengguna.
Misalnya, dalam contoh exploit yang ditunjukkan, saat Anda membuka dokumen tanpa peringatan, kalkulator sistem akan dimulai.
Dan apakah itu bukan bug pertama yang dilaporkan di mana acara dieksploitasi di ruang kantor sejak masuk bulan yang lalu kasus lain terungkap di mana dalam versi 6.1.0-6.1.3.1 terlihat bahwa kode injeksi mungkin pada versi Linux dan Windows saat pengguna mengarahkan mouse ke URL berbahaya.
Karena dengan cara yang sama ketika kerentanan dieksploitasi, ia tidak menghasilkan jenis dialog peringatan apa pun. Segera setelah pengguna mengarahkan mouse ke URL berbahaya, kode tersebut segera dijalankan.
Di sisi lain, penggunaan Python dalam suite juga mengungkapkan kasus eksploitasi bug di mana suite tersebut mengeksekusi kode arbitrer tanpa batasan atau peringatan.
Dengan ini, orang-orang LibreOffice memiliki tugas besar untuk meninjau bagian ini dalam suite karena ada beberapa kasus yang diketahui memanfaatkan ini.
Kerentanan diperbaiki tanpa memberikan rincian lebih lanjut tentang itu atau tentang informasi tentang itu di pembaruan 6.2.5 dari LibreOffice, dirilis pada tanggal 1 Juli, tetapi ternyata masalah tersebut tidak sepenuhnya terselesaikan (hanya panggilan LibreLogo dari makro yang diblokir) dan beberapa vektor lain untuk melakukan serangan tetap tidak diperbaiki.
Selain itu, masalah tidak terselesaikan dalam versi 6.1.6 yang direkomendasikan untuk pengguna korporat. Untuk sepenuhnya menghilangkan kerentanan direncanakan dalam rilis LibreOffice 6.3, yang diharapkan minggu depan.
Sebelum update lengkap dirilis, pengguna disarankan untuk menonaktifkan komponen LibreLogo secara eksplisit, yang secara default tersedia di banyak paket. Kerentanan sebagian telah diperbaiki di Debian, Fedora, SUSE / openSUSE, dan Ubuntu.
sumber: https://insinuator.net/