Нещодавно була виявлена помилка, знайдена в популярному офісному наборі LibreOffice ця вразливість була занесена до каталогу CVE-2019-9848. Ця помилка виявлена se можна використовувати для виконання довільного коду при відкритті заздалегідь підготовлених документів зловмисною особою, а потім в основному розподіляє їх і чекає, поки жертва виконає ці документи.
Вразливість спричинено тим, що компонент LibreLogo, dСпрямований на навчання програмуванню та вставку векторних малюнків, він перекладає свої дії в код Python. Маючи можливість виконувати інструкції LibreLogo, зловмисник може виконати будь-який код Python в контексті поточного сеансу користувача, використовуючи команду "запустити", надану в LibreLogo. З Python, використовуючи system (), у свою чергу, ви можете викликати довільні системні команди.
Як описано особою, яка повідомила про цю помилку:
Макроси, що постачаються з LibreOffice, працюють без підказки користувачеві, навіть при найвищих налаштуваннях безпеки макросів. Отже, якби існував системний макрос LibreOffice з помилкою, що дозволяє виконувати код, користувач навіть не отримав би попередження, і код буде виконаний негайно.
Про постанову
LibreLogo є необов’язковим компонентом, але в LibreOffice макроси пропонуються за замовчуванням, що дозволяє телефонувати LibreLogo і не вимагають підтвердження операції та не відображають попередження, навіть коли ввімкнено режим максимального захисту для макросів (вибір рівня "Дуже високий").
Для атаки ви можете приєднати такий макрос до обробника подій, який спрацьовує, наприклад, коли ви наводите курсор миші на певну область або коли ви активуєте фокус введення на документі (подія onFocus).
Велика проблема тут полягає в тому, що код погано перекладений і містить лише код python, оскільки код сценарію часто призводить до того самого коду після перекладу.
В результаті, коли ви відкриваєте документ, підготовлений зловмисником, ви можете досягти прихованого виконання коду Python, невидимого для користувача.
Наприклад, у продемонстрованому прикладі експлуатації, коли ви відкриваєте документ без попередження, запускається системний калькулятор.
І це не перша повідомлення про помилку, в якій експлуатуються події в офісному номері з місяці тому було оголошено ще один випадок, коли у версіях 6.1.0-6.1.3.1 показано, що ін'єкція коду можливо у версіях Linux та Windows, коли користувач наводить курсор миші на шкідливу URL-адресу.
Оскільки таким же чином, коли вразливість була використана, вона не генерувала жодного типу діалогового вікна попередження. Як тільки користувач наводить курсор миші на шкідливу URL-адресу, код запускається негайно.
З іншого боку, використання Python у наборі також виявило випадки використання помилок, коли набір виконує довільний код без обмежень та попереджень.
Завдяки цьому люди LibreOffice мають велике завдання переглянути цю частину в наборі, оскільки існує декілька відомих випадків, які цим скористалися.
Уразливість була виправлена, не надаючи додаткових деталей про це або про інформацію про це в оновленні 6.2.5 від LibreOffice, випущений 1 липня, але виявилося, що проблема не була повністю вирішена (заблоковано лише дзвінок LibreLogo з макросів), а деякі інші вектори для здійснення атаки залишились невиправленими.
Також проблема не вирішена у версії 6.1.6, рекомендованій для корпоративних користувачів. Повністю усунути вразливість планується у випуску LibreOffice 6.3, який очікується наступного тижня.
Перед випуском повного оновлення користувачам рекомендується явно вимкнути компонент LibreLogo, який за замовчуванням доступний у багатьох пакунках. Частково виправлена уразливість у Debian, Fedora, SUSE / openSUSE та Ubuntu.
Фуенте: https://insinuator.net/