Mereka menemui kerentanan kritikal di Apache OpenOffice

Beberapa hari yang lalu kerentanan telah dinyatakan yang telah dikenal pasti di suite pejabat Apache OpenOffice, pepijat ini disenaraikan di bawah CVE-2021 33035- membolehkan pelaksanaan kod semasa membuka fail yang dibuat khas dalam format DBF.

Masalahnya kerana OpenOffice bergantung pada nilai fieldLength dan fieldType dalam tajuk fail DBF untuk memperuntukkan memori tanpa memeriksa jenis data sebenar di medan.

Mengenai kerentanan

Untuk melakukan serangan, anda boleh menentukan jenis INTEGER dalam nilai fieldType, tetapi meletakkan data yang lebih besar dan tentukan nilai fieldLength yang tidak sesuai dengan ukuran data INTEGER, yang akan menyebabkan fakta bahawa data antrian medan akan ditulis keluar dari buffer yang diperuntukkan.

Hasil daripada luapan penyangga terkawal, penyelidik dapat mentakrifkan kembali pointer fungsi dan menggunakan teknik Return Oriented Programming (ROP), mencapai pelaksanaan kodenya.

Satu nasihat yang saya terima pada awal perjalanan penyelidikan kerentanan adalah memusatkan perhatian pada format fail, bukan perisian tertentu. Terdapat dua kelebihan utama pendekatan ini. Pertama, sebagai pemula, anda tidak memiliki pengalaman untuk mengenal pasti vektor serangan yang unik dalam aplikasi individu, sementara analisis format fail cenderung menjadi titik masuk yang biasa di antara banyak aplikasi. 

Selain itu, format fail biasa didokumentasikan dengan baik menggunakan Request for Comments (RFC) atau kod sumber terbuka, yang mengurangkan jumlah usaha yang diperlukan untuk membalikkan format..

Semasa menggunakan teknik ROP, penyerang tidak berusaha memasukkan kodnya dalam ingatan, melainkan sebaliknya yang beroperasi di bahagian arahan mesin yang sudah tersedia di perpustakaan yang dimuatkan, diakhiri dengan pernyataan pengembalian kawalan (sebagai peraturan, ini adalah akhir perpustakaan fungsi).

Tugas mengeksploitasi datang untuk membina rangkaian panggilan ke blok serupa ("alat") untuk mendapatkan fungsi yang diperlukan.

Sebagai alat dalam eksploitasi untuk OpenOffice, disebutkan bahawa kod dari perpustakaan libxml2 yang digunakan di OpenOffice digunakan, yang, tidak seperti OpenOffice, ternyata dipasang tanpa mekanisme perlindungan DEP (Data Execution Prevention) dan ASLR (Alamat Space Layout Randomization ).

Pembangun OpenOffice diberitahu mengenai masalah tersebut pada 4 Mei, selepas itu pendedahan awam mengenai kerentanan dijadualkan pada 30 Ogos.

Oleh kerana cawangan stabil tidak dikemas kini pada tarikh terancang, danPenyiasat menangguhkan pengeluaran butiran sehingga 18 September, tetapi pembangun OpenOffice tidak mempunyai masa untuk membina versi 4.1.11 pada masa itu. Harus diingat bahawa dalam studi yang sama, kerentanan serupa dinyatakan dalam kod untuk menyokong format DBF dalam Microsoft Office Access (CVE-2021-38646), yang detailnya akan diungkapkan kemudian. Tiada masalah dijumpai di LibreOffice.

Dokumentasi format fail untuk dBase agak mudah dicari; Wikipedia mempunyai gambaran ringkas mengenai versi versi 5 dan dBase LLC juga memberikan spesifikasi yang dikemas kini. Perpustakaan Kongres menyenaraikan katalog format fail yang luar biasa, termasuk DBF. Berbagai versi dan peluasan format DBF memberikan banyak peluang bagi pengaturcara untuk memperkenalkan kelemahan imbasan.

Format DBF terdiri daripada dua bahagian utama: tajuk dan badan. Header merangkumi awalan yang menerangkan versi pangkalan data dBase, cap waktu kemas kini terakhir, dan metadata lain. Lebih penting lagi, ia menentukan panjang setiap rekod dalam pangkalan data, panjang struktur tajuk, jumlah rekod, dan bidang data dalam satu rekod.

Penyelidik yang mengenal pasti masalah tersebut memberi amaran tentang membuat eksploitasi berfungsi untuk platform Windows. Perbaikan kerentanan hanya tersedia sebagai tambalan di repositori projek, yang termasuk dalam ujian OpenOffice 4.1.11.

Akhirnya, jika anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh merujuk nota asal di pautan berikut.