Onlangs een bug gevonden in de populaire Office-suite van LibreOffice werd onthuld Deze kwetsbaarheid is gecatalogiseerd in CVE-2019-9848. Deze fout vond se kan worden gebruikt om willekeurige code uit te voeren bij het openen van vooraf voorbereide documenten door de kwaadwillende persoon en verspreid ze vervolgens in feite en wacht tot het slachtoffer deze documenten uitvoert.
Kwetsbaarheid wordt veroorzaakt door het feit dat de LibreLogo-component, dGericht op het leren programmeren en het invoegen van vectortekeningen, vertaalt het zijn bewerkingen in Python-code. Door de mogelijkheid te hebben om LibreLogo-instructies uit te voeren, een aanvaller kan elke Python-code uitvoeren in de context van de huidige gebruikerssessie, gebruikmakend van het "run" commando voorzien in LibreLogo. Vanuit Python, met behulp van system (), kun je op zijn beurt willekeurige systeemopdrachten aanroepen.
Zoals beschreven door de persoon die deze bug heeft gerapporteerd:
Macro's die met LibreOffice worden geleverd, worden uitgevoerd zonder de gebruiker te vragen, zelfs bij de hoogste macrobeveiligingsinstellingen. Als er dus een LibreOffice-systeemmacro zou zijn met een fout waardoor code kan worden uitgevoerd, zou de gebruiker niet eens een waarschuwing ontvangen en zou de code onmiddellijk worden uitgevoerd.
Over de uitspraak
LibreLogo is een optionele component, maar in LibreOffice worden macro's standaard aangeboden, toestaan om LibreLogo te bellen en vereisen geen bevestiging van de operatie en geven geen waarschuwing weer, zelfs wanneer de maximale beschermingsmodus voor macro's is ingeschakeld (door het niveau "Zeer hoog" te selecteren).
Voor een aanval kunt u een dergelijke macro koppelen aan een gebeurtenishandler die vuurt, bijvoorbeeld wanneer u de muis over een specifiek gebied beweegt of wanneer u invoerfocus op het document activeert (gebeurtenis onFocus).
Het grote probleem hier is dat de code niet goed is vertaald en alleen Python-code biedt, aangezien de scriptcode vaak resulteert in dezelfde code na vertaling.
Als gevolg hiervan, wanneer u een document opent dat door een aanvaller is voorbereid, kunt u een verborgen uitvoering van Python-code bereiken, onzichtbaar voor de gebruiker.
In het gedemonstreerde exploit-voorbeeld start de systeemcalculator bijvoorbeeld wanneer u een document opent zonder waarschuwing.
En niet de eerste gerapporteerde bug waarin evenementen worden misbruikt in de kantoorsuite sinds in maanden geleden werd een ander geval onthuld waarin in versies 6.1.0-6.1.3.1 het is aangetoond dat de code injectie is mogelijk op Linux- en Windows-versies wanneer een gebruiker de muis over een kwaadaardige URL houdt.
Omdat het op dezelfde manier, toen het beveiligingslek werd misbruikt, geen enkel waarschuwingsvenster genereerde. Zodra de gebruiker de muis over de kwaadaardige URL houdt, wordt de code onmiddellijk uitgevoerd.
Aan de andere kant heeft het gebruik van Python in de suite ook gevallen van misbruik van bugs onthuld waarbij de suite willekeurige code uitvoert zonder beperkingen of waarschuwingen.
Hiermee hebben de mensen van LibreOffice een grote taak om dit deel in de suite te herzien, aangezien er verschillende gevallen bekend zijn die hiervan profiteren.
De kwetsbaarheid is verholpen zonder verdere details te geven erover of over informatie erover in de update 6.2.5 van LibreOffice, uitgebracht op 1 juli, maar het bleek dat het probleem niet volledig was opgelost (alleen de LibreLogo-oproep van macro's werd geblokkeerd) en sommige andere vectoren om de aanval uit te voeren bleven ongecorrigeerd.
Ook is het probleem niet opgelost in versie 6.1.6, aanbevolen voor zakelijke gebruikers. Om de kwetsbaarheid volledig te elimineren is gepland in de release van LibreOffice 6.3, die volgende week wordt verwacht.
Voordat een volledige update wordt uitgebracht, wordt gebruikers geadviseerd om de LibreLogo-component expliciet uit te schakelen, die standaard in veel pakketten beschikbaar is. De kwetsbaarheid is gedeeltelijk opgelost in Debian, Fedora, SUSE / openSUSE en Ubuntu.
bron: https://insinuator.net/