Кілька днів тому виявлено вразливість що було ідентифіковано в офісному наборі Apache OpenOffice, ця помилка вказана під CVE-2021-33035 дозволяє виконувати код при відкритті спеціально створеного файлу у форматі DBF.
Проблема це тому, що OpenOffice спирається на значення fieldLength і fieldType у заголовку файлів DBF для виділення пам'яті без перевірки фактичного типу даних у полях.
Про вразливість
Щоб здійснити атаку, Ви можете вказати тип INTEGER у полі fieldType, але ввести більші дані і вкажіть значення fieldLength, яке не відповідає розміру даних INTEGER, що призведе до того, що дані черги поля будуть виписані з виділеного буфера.
В результаті контрольованого переповнення буфера, досліднику вдалося переосмислити вказівник на повернення функції та, використовуючи прийоми орієнтованого програмування на повернення (ROP), досягти виконання свого коду.
Одна з порад, яку я отримав на початку дослідницької поїздки щодо вразливостей, - це зосередитися на форматі файлу, а не на певному програмному забезпеченні. Існує дві основні переваги такого підходу. По -перше, вам, як новачкові, не вистачало досвіду для швидкого визначення унікальних векторів атак в окремих додатках, тоді як аналіз формату файлів, як правило, є загальною точкою входу серед багатьох програм.
Крім того, загальні формати файлів добре документуються за допомогою запитів на коментарі (RFC) або відкритого вихідного коду, що зменшує кількість зусиль, необхідних для інженерного форматування..
При використанні техніки ROP зловмисник не намагається помістити свій код у пам'ять, а скоріше що діє на частинах машинні інструкції, які вже доступні у завантажених бібліотеках, закінчується оператором return (як правило, це кінець бібліотеки функцій).
Робота експлоїта зводиться до побудови ланцюжка дзвінків до подібних блоків ("гаджети") отримати необхідну функціональність.
Як гаджети в експлойті для OpenOffice згадується, що використовувався код з бібліотеки libxml2, що використовується у OpenOffice, яка, на відміну від OpenOffice, виявилася зібраною без механізмів захисту DEP (Data Execution Prevention) та ASLR (Address Space). Рандомізація макета).
Розробників OpenOffice повідомили про проблему 4 травня, після чого публічне розкриття вразливості було заплановано на 30 серпня.
Оскільки філійна конюшня не була оновлена на дату плановий, іСлідчий відклав оприлюднення подробиць до 18 вересня, але розробники OpenOffice на той час не встигли створити версію 4.1.11. Слід зазначити, що в ході цього ж дослідження була виявлена подібна вразливість у коді для підтримки формату DBF у Microsoft Office Access (CVE-2021-38646), деталі якого будуть розкриті пізніше. У LibreOffice проблем не виявлено.
Документацію щодо формату файлу для dBase було відносно легко знайти; У Вікіпедії є простий опис версії 5 формату, а dBase LLC також надає оновлену специфікацію. Бібліотека Конгресу містить неймовірний каталог форматів файлів, включаючи DBF. Різні версії та розширення формату DBF надають широкі можливості для програмістів впровадити вразливості сканування.
Формат DBF складається з двох основних розділів: заголовка та тексту. Заголовок містить префікс, що описує версію бази даних dBase, мітку часу останнього оновлення та інші метадані. Що ще важливіше, він визначає довжину кожного запису в базі даних, довжину структури заголовка, кількість записів та поля даних у записі.
Дослідник, який виявив проблему попередив про створення функціонального експлойту для платформи Windows. Виправлення для вразливості доступне лише як виправлення у сховищі проектів, яке було включено до тестових збірок OpenOffice 4.1.11.
Нарешті, якщо вам цікаво дізнатися більше про це, ви можете ознайомитися з оригінальною приміткою за адресою за наступним посиланням.
Чи все ще використовується OpenOffice у 2021 році?
Ви не чули, що LibreOffice.org підтримується?
Чи є сьогодні люди, які користуються цим зомбі під назвою openoffice?