Recentemente è stato scoperto un bug trovato nella popolare suite per ufficio LibreOffice questa vulnerabilità è stata catalogata in CVE-2019-9848. Questa colpa ha trovato se può essere utilizzato per eseguire codice arbitrario all'apertura di documenti pre-preparati dal malintenzionato e quindi sostanzialmente distribuirli e attendere che la vittima esegua questi documenti.
Vulnerabilità è causato dal fatto che il componente LibreLogo, dDestinato all'insegnamento della programmazione e all'inserimento di disegni vettoriali, traduce le sue operazioni in codice Python. Avendo la possibilità di eseguire istruzioni LibreLogo, un aggressore può eseguire qualsiasi codice Python nel contesto della sessione utente corrente, utilizzando il comando "run" fornito in LibreLogo. Da Python, usando system (), a sua volta, puoi chiamare comandi di sistema arbitrari.
Come descritto dalla persona che ha segnalato questo bug:
Le macro fornite con LibreOffice vengono eseguite senza chiedere conferma all'utente, anche con le impostazioni di sicurezza macro più elevate. Quindi, se ci fosse una macro di sistema LibreOffice con un errore che consente l'esecuzione del codice, l'utente non riceverebbe nemmeno un avviso e il codice verrebbe eseguito immediatamente.
Sulla sentenza
LibreLogo è un componente opzionale, ma in LibreOffice le macro sono offerte per impostazione predefinita, permettendo di chiamare LibreLogo e non richiedono la conferma dell'operazione e non visualizzano un avviso, anche quando è abilitata la modalità di massima protezione per le macro (selezionando il livello "Molto alto").
Per un attacco, puoi allegare una macro di questo tipo a un gestore di eventi che si attiva, ad esempio, quando si passa il mouse su un'area specifica o quando si attiva il focus di input sul documento (evento onFocus).
Il grosso problema qui è che il codice non è ben tradotto e fornisce solo codice Pythonpoiché il codice dello script spesso restituisce lo stesso codice dopo la traduzione.
Di conseguenza, quando apri un documento preparato da un utente malintenzionato, puoi ottenere l'esecuzione di codice Python nascosto, invisibile all'utente.
Ad esempio, nell'esempio di exploit dimostrato, quando si apre un documento senza preavviso, viene avviato il calcolatore di sistema.
Ed è che non il primo bug segnalato in cui gli eventi vengono sfruttati nella suite dell'ufficio da allora mesi fa è stato annunciato un altro caso in cui nelle versioni 6.1.0-6.1.3.1 è dimostrato che il l'iniezione di codice è possibile nelle versioni Linux e Windows quando un utente passa il mouse su un URL dannoso.
Poiché allo stesso modo quando la vulnerabilità è stata sfruttata, non ha generato alcun tipo di finestra di dialogo di avviso. Non appena l'utente passa il mouse sull'URL dannoso, il codice viene eseguito immediatamente.
D'altra parte, l'uso di Python all'interno della suite ha anche rivelato casi di sfruttamento di bug in cui la suite esegue codice arbitrario senza restrizioni o avvisi.
Con questo le persone di LibreOffice hanno un grande compito di rivedere questa parte della suite poiché ci sono diversi casi noti che ne traggono vantaggio.
La vulnerabilità è stata risolta senza fornire ulteriori dettagli su di esso o su informazioni su di esso nell'aggiornamento 6.2.5 da LibreOffice, rilasciato il 1 ° luglio, ma si è scoperto che il problema non era stato completamente risolto (era bloccata solo la chiamata LibreLogo da macro) e alcuni altri vettori per eseguire l'attacco erano rimasti non corretti.
Inoltre, il problema non viene risolto nella versione 6.1.6 consigliata per gli utenti aziendali. Per eliminare completamente la vulnerabilità è previsto il rilascio di LibreOffice 6.3, previsto la prossima settimana.
Prima del rilascio di un aggiornamento completo, si consiglia agli utenti di disabilitare esplicitamente il componente LibreLogo, che per impostazione predefinita è disponibile in molti pacchetti. Risolto parzialmente la vulnerabilità in Debian, Fedora, SUSE / openSUSE e Ubuntu.
fonte: https://insinuator.net/