O LibreOffice, uma das suítes de escritórios mais utilizadas no mundo inteiro, possuí uma falha de segurança grave, onde um usuário mal intencionado pode gerar um arquivo com extensão ODT e infectar sistemas como Windows e Linux utilizando códigos maliciosos.
A falha ocorreu no LibreOffice 6.1.2.1, e foi lançada correção inicial na versão 6.2.5. No entanto, o pesquisador descobriu um meio de burlar a correção lançada pela equipe do LibreOffice em julho. Segundo informações, a falha foi identificada em 1 de fevereiro deste ano, mas foi gerado CVE-2019-9848 apenas em 17 de março. As novas informações partiram do blog InsertScript através do autor Alex Inführ.
Nele, o analista conta como descobriu a vulnerabilidade do LibreOffice 6.1.2.1 e ainda há um vídeo de demonstração, exibindo como tudo ocorre. O mais intrigante é que, quando o código malicioso estava sendo executado, nenhuma caixa de diálogo era exibida para o usuário final, isso realmente é um grande problema.
Mesmo diante da agilidade dos devs do LibreOffice em corrigir a falha, o mesmo pesquisador relata que conseguiu burlar o patch aplicado no início de julho afim de corrigir o problema. Então, no momento da descrita deste artigo, a versão mais recente do LibreOffice é vulnerável.
Com tudo, a nova descoberta sobre como burlar a correção lançada na versão atual do LibreOffice, não foi divulgada, ao menos publicamente. Supomos, que isso deva estar sendo tratado internamente, para evitar por em risco os usuários.
Segundo o primeiro relatório, o bug havia sido submetido ao Bugzilla do LibreOffice, mas foi fechado sem nenhuma solução. Devido a isso, o mesmo usuário resolveu enviar um e-mail para o officesecurity@lists.freedesktop.org afim de que alguém pudesse dar crédito e investigar o que estava ocorrendo.
A publicação feita tanto no Insinuator e no InsertScript possuem prova de conceito, vídeo, código e os passos para executar um modelo de código malicioso sem grandes danos. Claro, nas matérias os códigos são apenas demonstrativos e sem risco, mas alguém mal intencionado poderia criar algo destrutivo.
Abaixo vídeo de prova de conceito, onde um script simples dentro de um arquivo ODT do LibreOffice, abre a calculadora. O script não esta visível no LibreOffice, porque o hacker deixou-o na cor branca:
A falha permanece em aberta, mas não há nenhuma informação sobre correção ou prazo para que isso seja resolvido. No site do LibreOffice o status do CVE-2019-9848 ainda é o mesmo, como também a mesma data da última correção que ainda pode ser burlada.
Por ora, confira um trecho da recomendação do analista:
As macros e o código que as manipula ainda têm uma grande superfície de ataque e provavelmente terão alguns bugs, por isso eu recomendo atualizar o LibreOffice e instalá-lo sem macros ou pelo menos sem o LibreLogo, disse Nils.
Para mais detalhes sugerimos a consulta dos links extras abaixo: