В начале июля команда LibreOffice выпустила обновление для своего офисного пакета. В версии 6.2.5 разработчики закрыли две серьезные уязвимости, одна из которых давала злоумышленникам возможность удаленно получить полный доступ к компьютеру с помощью документа с вредоносным макросом. Однако через несколько дней после выхода патча независимый австрийский исследователь Алекс Инфюр (Alex Inführ) смог обойти исправление.

LibreOffice — это набор офисных программ с открытым исходным кодом, являющийся бесплатной альтернативой MS Office. Он доступен для большинства популярных операционных систем, в том числе Linux, Windows и Mac OS, и поддерживает файлы в форматах .doc, .docx, .xls, .xlsx, .ppt, .pptx. Его разработкой занимается некоммерческий фонд The Document Foundation.

Уязвимость, получившую идентификатор CVE-2019-9848, обнаружил специалист немецкой компании ERNW Нильс Эммерих (Nils Emmerich). По его словам, критическая ошибка содержится в LibreLogo — программируемом сценарии для работы с черепаховой графикой. При вызове этого макроса происходит преобразование скриптового кода в Python-код, однако исследователь обнаружил, что перевод осуществляется некорректно. В итоге злоумышленник может с помощью вредоносного документа вызвать LibreLogo и, используя уязвимость, выполнить любую Python-команду. Его вмешательства жертва не заметит: при запуске макросов LibreOffice никаких предупреждений не выводит.

В качестве PoC Эммерих продемонстрировал атаку, в ходе которой при наведении указателя мыши на гиперссылку во вредоносном документе запускается приложение «Калькулятор». При этом от жертвы не требуется никаких дополнительных действий, в том числе разрешения на запуск LibreLogo.

Спустя месяц после получения отчета об уязвимости разработчики выпустили патч. Одновременно они устранили еще один баг, CVE-2019-9849. Он проявлялся в «скрытом режиме» LibreOffice, при котором обращаться к удаленным ресурсам могут только документы из проверенных источников. Выяснилось, что эта защита не распространялась на маркированные списки, в которых в качестве выделителей использовались графические изображения.

Через десять дней после выхода обновления Инфюр сообщил в Twitter, что ему удалось обойти патч в новейшей версии LibreOffice. Эммерих подтвердил, что тоже может воссоздать свою атаку.

В феврале этого года Инфюр нашел схожую ошибку в офисном пакете, которая позволяла злоумышленникам выполнять произвольный код как в Windows, так и в Linux.

Пока производитель исправляет патч для CVE-2019-9848, исследователи рекомендуют обновить LibreOffice и отключить макросы или, по крайней мере, LibreLogo.

Категории: Уязвимости