Office: cuando todos estamos expuestos

Office expone el perímetro

Office expone el perímetro

Otro día, otra vulnerabilidad ve la luz, y solo con abrir un archivo de documento de Office de aspecto inocente en su sistema puede permitir que los cibercriminales pongan en peligro su perímetro.

Esta vez no estoy hablando de otra vulnerabilidad más en Microsoft Office, sino que hablo de las suites de oficina más populares entre los fanáticos del open source, LibreOffice y Apache OpenOffice, software de oficina de código abierto y gratuito utilizado por millones de usuarios de Windows, MacOS y Linux.

Alex Inführ, conocido investigador de seguridad, descubrió una grave vulnerabilidad de ejecución remota de código (RCE) en estas dos suites de oficina de código abierto que podría activarse con solo abrir un archivo ODT (OpenDocument Text) malicioso.

Vulnerabilidad expuesta

La vulnerabilidad se basa en la explotación de una falla de cruce de directorio, identificada como CVE-2018-16858, para ejecutar automáticamente una biblioteca de Python específica incluida en el software mediante un evento oculto onmouseover.

Para aprovechar esta vulnerabilidad, Inführ creó un archivo ODT con un hipervínculo de color blanco (por lo que no se puede ver) que tiene un evento “onmouseover” para engañar a las víctimas para que ejecuten un archivo python disponible localmente en su sistema cuando colocan el mouse en cualquier lugar. en el hipervínculo invisible.

Tal como lo indica Inführ, el archivo python, llamado “pydoc.py”, que viene incluido con el propio intérprete de Python de LibreOffice acepta comandos arbitrarios en uno de sus parámetros y los ejecuta a través de la línea de comandos o la consola del sistema.

Demostración de la prueba de concepto en vídeo

Inführ proporcionó una demostración de video de prueba de concepto (PoC) que muestra cómo pudo engañar al evento para que llame a una función específica dentro de un archivo Python, que finalmente ejecutó la carga útil del investigador a través de la línea de comandos de Windows (cmd) sin mostrar ningún cuadro de diálogo de advertencia al usuario.

El analista de ciberseguridad también lanzó el código de vulnerabilidad PoC para la vulnerabilidad y destacó que, aunque probó su vulnerabilidad en el sistema operativo Windows de Microsoft, también debería funcionar en Linux.

Informe

Inführ informó sobre la vulnerabilidad a LibreOffice y Apache OpenOffice el 18 de octubre del año pasado.

Al día de hoy sabemos que LibreOffice solucionó el problema a fines de ese mes con el lanzamiento de LibreOffice 6.0.7 / 6.1.3, OpenOffice todavía parece ser vulnerable.

Promediando noviembre, RedHat asignó a la vulnerabilidad de cruce de ruta una ID de CVE y le dijo al investigador que no revelara los detalles o PoC del error hasta el 31 de enero de 2019.

El analista de sseguridad hizo públicos los detalles y el código de explotación de PoC de la vulnerabilidad el 1 de febrero, incluso cuando Apache OpenOffice 4.1.6 (la última versión en el momento de la escritura) permanece sin parchear. Sin embargo, dice que su código de explotación no funciona en OpenOffice.

“Openoffice no permite pasar parámetros; por lo tanto, mi PoC no funciona, pero se puede abusar del recorrido transversal de la ruta para ejecutar una secuencia de comandos de Python desde otra ubicación en el sistema de archivos local”, explica Inführ.

Como solución temporal hasta que OpenOffice publique una solución de seguridad, los usuarios pueden eliminar o cambiar el nombre del archivo pythonscript.py en la carpeta de instalación para deshabilitar la compatibilidad con python.

Por lo tanto, simplemente deshacerse de Microsoft Office para los paquetes de oficina de código abierto no ayudaría mucho a protegerse de tales ataques, a menos que adopte prácticas de seguridad básicas.

 

 

Por Marcelo Lozano – General Publisher IT CONNECT