Es 2019, y solo abrir un archivo de documento de oficina de aspecto inocente en su sistema aún puede permitir que los piratas informáticos comprometan su computadora.
No, no estoy hablando de otra vulnerabilidad más en Microsoft Office, sino en otras dos alternativas más populares:LibreOffice y Apache Open Office—Software de oficina gratuito y de código abierto utilizado por millones de usuarios de Windows, MacOS y Linux.
El investigador de seguridad Alex Inführ ha descubierto una vulnerabilidad grave de ejecución remota de código (RCE) en estas dos suites ofimáticas de código abierto que podría activarse con solo abrir un archivo ODT (OpenDocument Text) creado con fines malintencionados.
El ataque se basa en explotar una falla de cruce de directorios, identificada como CVE-2018-16858, para ejecutar automáticamente una biblioteca de Python específica incluida en el software mediante un evento oculto al pasar el mouse.
Para explotar esta vulnerabilidad, Inführ creó un archivo ODT con un hipervínculo de color blanco (para que no se pueda ver) que tiene un evento «sobre el mouse» para engañar a las víctimas para que ejecuten un archivo python disponible localmente en su sistema al colocar el mouse en cualquier lugar. en el hipervínculo invisible.
Según el investigador, el archivo python, llamado «pydoc.py», que viene incluido con el propio intérprete de Python de LibreOffice, acepta comandos arbitrarios en uno de sus parámetros y los ejecuta a través de la línea de comandos o consola del sistema.
Exploit de PoC y demostración de video lanzada
Inführ proporcionó una demostración de video de prueba de concepto (PoC) que muestra cómo pudo engañar al evento para que llamara a una función específica dentro de un archivo de Python, que finalmente ejecutó la carga útil del investigador a través de la línea de comandos de Windows (cmd) sin mostrar ningún cuadro de diálogo de advertencia. al usuario
El investigador también lanzó el código de explotación de PoC para la vulnerabilidad y enfatizó que, aunque probó su explotación en el sistema operativo Windows de Microsoft, también debería funcionar en Linux.
Inführ informó de la vulnerabilidad a LibreOffice y Apache OpenOffice el 18 de octubre del año pasado. Si bien LibreOffice solucionó el problema a fines de ese mes con el lanzamiento de LibreOffice 6.0.7 / 6.1.3, OpenOffice aún parece ser vulnerable.
A mediados de noviembre, RedHat asignó a la vulnerabilidad de cruce de ruta una ID de CVE y le dijo al investigador que no revelara los detalles o PoC del error hasta el 31 de enero de 2019.
Inführ hizo públicos los detalles y el código de explotación PoC de la vulnerabilidad el 1 de febrero, incluso cuando Apache OpenOffice 4.1.6 (última versión en el momento de escribir este artículo) sigue sin parchear. Sin embargo, dice que su código de explotación no funciona en OpenOffice.
«Openoffice no permite pasar parámetros; por lo tanto, mi PoC no funciona, pero el recorrido de la ruta puede [still] ser abusado para ejecutar un script de python desde otra ubicación en el sistema de archivos local «, explica Inführ.
Como solución hasta que OpenOffice publique una solución de seguridad, los usuarios pueden eliminar o cambiar el nombre del archivo pythonscript.py en la carpeta de instalación para desactivar la compatibilidad con python.
Por lo tanto, simplemente cambiar Microsoft Office por suites ofimáticas de código abierto no ayudaría mucho a protegerse de tales ataques, a menos que adopte prácticas básicas de seguridad.
