Encontraron otro nuevo fallo encontrado en LibreOffice en los eventos del mouse
Recientemente se dio a conocer un fallo que se encontró en la popular suite de ofimática LibreOffice esta vulnerabilidad fue catalogada en el CVE-2019-9848. Este fallo encontrado se puede usar para ejecutar código arbitrario al abrir documentos preparados previamente por la persona malintencionada para después básicamente distribuirlos y esperar a que la victima ejecute estos documentos.
La vulnerabilidad es causada por el hecho de que el componente LibreLogo, destinado a enseñar programación e insertar dibujos vectoriales, traduce sus operaciones en código Python. Al tener la capacidad de ejecutar las instrucciones de LibreLogo, un atacante puede realizar la ejecución de cualquier código de Python en el contexto de la sesión de usuario actual, utilizando el comando “run” proporcionado en LibreLogo. Desde Python, usando system (), a su vez, puede llamar a comandos arbitrarios del sistema.
Tal y como describe la persona que informo sobre este fallo:
Las macros que se envían con LibreOffice se ejecutan sin preguntar al usuario, incluso en la configuración de seguridad de macro más alta. Por lo tanto, si hubiera una macro del sistema de LibreOffice con un error que permita ejecutar código, el usuario ni siquiera recibiría un aviso y el código se ejecutaría de inmediato.
Sobre el fallo
LibreLogo es un componente opcional, pero en LibreOffice las macros se ofrecen de manera predeterminada, lo que permite llamar a LibreLogo y no requieren confirmación de la operación y no muestran una advertencia, incluso cuando el modo de protección máxima para macros está habilitado (seleccionando el nivel “Muy alto”).
Para un ataque, puede adjuntar dicha macro a un controlador de eventos que se dispara, por ejemplo, cuando coloca el mouse sobre un área específica o cuando activa el foco de entrada en el documento (evento onFocus).
El gran problema aquí es que el código no está bien traducido y solo proporciona código python, ya que el código del script a menudo da como resultado el mismo código después de la traducción.
Como resultado, cuando abre un documento preparado por un atacante, puede lograr la ejecución oculta del código Python, de manera invisible para el usuario.
Por ejemplo, en el ejemplo de exploit demostrado, cuando abre un documento sin previo aviso, se inicia la calculadora del sistema.
Y es que no es el primer fallo informado en el cual se explotan los eventos en la suite de ofimática ya que en meses atrás se dio a conocer otro caso en donde en las versiones 6.1.0-6.1.3.1 se muestra que la inyección de código es posible en las versiones de Linux y Windows cuando un usuario pasa el mouse sobre una URL maliciosa.
Ya que de igual forma cuando se explotaba la vulnerabilidad, no generaba ningún tipo de diálogo de advertencia. Tan pronto como el usuario pasa el mouse sobre la URL maliciosa, el código se ejecuta de inmediato.
Por otro lado también el uso de Python dentro de la suite ha dado a conocer casos de explotación de fallos en donde la suite ejecuta codigo arbitrario sin restricciones ni advertencias.
Con ello la gente de LibreOffice tiene una gran tarea de revisar esta parte en la suite ya que son varios casos conocidos que se aprovechan de esto.
La vulnerabilidad se corrigió sin dar más detalles al respecto ni sobre información al respecto en la actualización 6.2.5 de LibreOffice, lanzada el 1 de julio, pero resultó que el problema no se resolvió por completo (solo se bloqueó la llamada de LibreLogo desde macros) y algunos otros vectores para llevar a cabo el ataque permanecieron sin corregir.
Además, el problema no se resuelve en la versión 6.1.6 recomendada para usuarios corporativos. Para eliminar completamente la vulnerabilidad está previsto en el lanzamiento de LibreOffice 6.3, que se espera la próxima semana.
Antes del lanzamiento de una actualización completa, se recomienda a los usuarios que deshabiliten explícitamente el componente LibreLogo, que por defecto está disponible en muchos paquetes. Se corrigió parcialmente la vulnerabilidad en Debian, Fedora, SUSE/openSUSE y Ubuntu.
Fuente: https://insinuator.net/