Falha Grave RCE encontrada no Software LibreOffice e OpenOffice

Apenas abrir um documento office aparentemente parece inocente, mas seu sistema ainda pode permitir que hackers comprometam seu computador.

Não estamos falando de mais uma vulnerabilidade no Microsoft Office, mas em duas outras alternativas populares – LibreOffice e Apache OpenOffice – gratuitas, software office de código aberto usado por milhões de usuários de Windows, MacOS e Linux.

O pesquisador de segurança Alex Inführ descobriu uma vulnerabilidade severa de execução remota de código (RCE) nesses dois pacotes de office de código aberto que podem ser acionados apenas abrindo um arquivo ODT (Open Document Text) criado com códigos maliciosos.

O ataque depende da exploração de uma falha de passagem de diretório, identificada como CVE-2018-16858, para executar automaticamente uma biblioteca específica em python integrada ao software usando um evento onmouseover oculto.

Para explorar esta vulnerabilidade, Inführ criou  um arquivo ODT com um hyperlink de cor branca (que não pode ser visto) que possui um evento “onmouseover” para enganar as vítimas e executar um arquivo python disponível localmente ao colocar o mouse em qualquer lugar no hyperlink invisível.

De acordo com o pesquisador, o arquivo python, chamado “pydoc.py”, que vem incluído no interpretador Python do LibreOffice, aceita comandos arbitrários em um de seus parâmetros e os executa através da linha de comando ou do console do sistema.

PoC Exploit

A Inführ forneceu uma demonstração de vídeo de prova de conceito (PoC) mostrando como ele conseguiu enganar o evento chamando uma função específica dentro de um arquivo Python, que eventualmente executava a carga do pesquisador através da linha de comando do Windows (cmd) sem mostrar qualquer diálogo de aviso para o usuário.

O pesquisador também divulgou o código de exploração do PoC para a vulnerabilidade e ressaltou que, embora tenha testado sua exploração no sistema operacional Windows, da Microsoft, ele também deveria funcionar no Linux.

O Inführ relatou a vulnerabilidade ao LibreOffice e ao Apache OpenOffice em 18 de outubro do ano passado. Embora o LibreOffice tenha corrigido o problema no final daquele mês com o lançamento do LibreOffice 6.0.7 / 6.1.3, o OpenOffice ainda parece estar vulnerável.

Em novembro, a RedHat atribuiu uma identificação CVE à vulnerabilidade road passage e disse ao pesquisador para não divulgar os detalhes ou PoC do bug até 31 de janeiro de 2019.

Inführ tornou os detalhes e o código de exploração PoC da vulnerabilidade públicos em 1º de fevereiro de mesmo quando o Apache OpenOffice 4.1.6 (versão mais recente no momento da escrita) permanece sem correção. No entanto, ele diz que seu código de exploração não funciona no OpenOffice.

“O Openoffice não permite a passagem de parâmetros; portanto, meu PoC não funciona, mas o caminho percorrido pode [ainda] ser usado para executar um script python de outro local no sistema de arquivos”, explica Infhr.

Como uma solução alternativa até que o OpenOffice libere uma correção de segurança, os usuários podem remover ou renomear o arquivo pythonscript.py na pasta de instalação para desabilitar o suporte do python.

Portanto, simplesmente abandonar o Microsoft Office por suítes de escritório de código aberto não ajudaria muito a se proteger de tais ataques, a menos que você adote práticas básicas de segurança.