Xakep #305. Многошаговые SQL-инъекции
ИБ-специалист Алекс Инфур (Alex Inführ) сообщил об опасной RCE-уязвимости в составе опенсорсных LibreOffice и Apache OpenOffice (CVE-2018-16858). Атакующий может добиться удаленного исполнения произвольного кода через автоматическое исполнение макросов. По сути, для срабатывания атаки пользователь должен просто провести курсором над вредоносной частью документа ODT.
Проблема представляет собой обход каталога и ее эксплуатация все же требует соблюдения ряда условий, из-за которых атаки на уязвимые версии офисных пакетов вряд ли могут носить массовый характер. Так, вредоносный документ атакующего должен содержать не только «невидимую» ссылку (например, написанную белым цветом), которая срабатывает при событии onmouseover, то есть наведении курсора. Также, после наведения курсора на вредоносную ссылку, документ должен обращаться к локальному Python-скрипту. Демонстрацию атаки на LibreOffice можно увидеть ниже.
Проблема уже была устранена в LibreOffice 6.0.7/6.1.3 (то есть еще в октябре 2018 года), а вот патча для OpenOffice пока нет.
Эксперт подчеркивает, что опубликованный им proof-of-concept эксплоит в текущем виде не работает для OpenOffice (отсутствует поддержка передачи аргументов в функции), однако атака на обход каталога все равно представляет опасность для офисного пакета и может быть использована для исполнения произвольных локальных скриптов, правда злоумышленнику сначала придется каким-то образом разместить их в системе пользователя. В качестве временной меры защиты от таких атак Инфур рекомендует пользователям OpenOffice удалить или переименовать файл pythonscript.py.