Recentemente, foi encontrado um bug na popular suíte de escritório do LibreOffice. Esta vulnerabilidade foi catalogada no CVE-2019-9848. A falha encontrada pode ser usada para executar código arbitrário ao abrir documentos previamente preparados pela pessoa mal-intencionada. Depois pode distribuí-los e esperar que a vítima execute esses documentos. Portanto, um novo bug foi encontrado no LibreOffice.
A vulnerabilidade é causada pelo fato de que o componente LibreLogo, projetado para ensinar programação e inserir desenhos vetoriais, traduz suas operações em código Python. Ao ter a capacidade de executar as instruções do LibreLogo, um invasor pode executar qualquer código Python no contexto da sessão atual do usuário, usando o comando “run” fornecido no LibreLogo. Do Python, usando system (), por sua vez, você pode chamar comandos arbitrários do sistema.
Conforme descrito pela pessoa que relatou essa decisão:
Os macros que são enviadas com o LibreOffice rodam sem perguntar ao usuário, mesmo nas configurações de segurança de macros mais altas. Portanto, se houvesse uma macro do sistema LibreOffice com um erro que permitisse executar o código, o usuário nem receberia um aviso e o código seria executado imediatamente.
Sobre o novo bug encontrado no LibreOffice
O LibreLogo é um componente opcional, porém no LibreOffice os macros são oferecidos por padrão. Ele é chamado LibreLogo e não requer confirmação da operação e não mostra um aviso. Isso ocorre mesmo quando o modo de proteção máxima do macro está habilitado (selecionando o Nível “muito alto”).
Para um ataque, você pode anexar esse macro a um manipulador de eventos que é acionado. Isso acontece, por exemplo, quando você coloca o mouse sobre uma área específica ou quando você ativa o foco de entrada no documento (evento onFocus).
O grande problema aqui é que o código não é bem traduzido. Como resultado, quando você abre um documento preparado por um invasor, pode obter a execução oculta do código Python, invisível para o usuário.
Por exemplo, na exploração demonstrada, quando você abre um documento sem aviso prévio, a calculadora do sistema é iniciada.
Não é a primeira falha
E não é a primeira falha relatada em que os eventos na suíte de escritório são explorados. Há alguns meses foi divulgado outro caso em que as versões 6.1.0-6.1.3.1 mostram que a injeção de código é possível nas versões Linux e Windows. Isso acontece quando um usuário passa o mouse sobre uma URL mal-intencionada.
Como da mesma forma quando a vulnerabilidade foi explorada, ela não gerou nenhum tipo de diálogo de alerta. Assim que o usuário passar pela URL maliciosa, o código é executado imediatamente.
Por outro lado, o uso do Python dentro do conjunto também revelou casos de exploração de falhas onde o pacote executa código arbitrário sem restrições ou avisos.
Com isso, os responsáveis pelo LibreOffice têm uma grande tarefa ao revisar essa parte na suíte.
A vulnerabilidade foi corrigida sem fornecer mais detalhes ou informações sobre ela na atualização 6.2.5 do LibreOffice, lançada em 1º de julho. No entanto, descobriu-se que o problema não foi completamente resolvido. Somente a chamada LibreLogo dos macros foi bloqueada e alguns outros vetores para realizar o ataque permaneceram sem correção.
Nova versão corrige falhas
Além disso, o problema não é resolvido na versão 6.1.6 recomendada para usuários corporativos. Para eliminar completamente a vulnerabilidade, haverá o lançamento do LibreOffice 6.3, que está previsto para a próxima semana.
Antes de lançar uma atualização completa, os usuários são aconselhados a desabilitar explicitamente o componente LibreLogo. Por padrão está disponível em muitos pacotes. A vulnerabilidade foi parcialmente corrigida no Debian, Fedora, SUSE/openSUSE e Ubuntu.
Fonte: Desde Linux