16 agosto, 2019 Por Víctor Reyes

Si utilizas LibreOffice es el momento de actualizar a su ultima versión 6.2.6/6.3.0 en la que se corrigen tres vulnerabilidades críticas que pueden dar pie a ejecutar código en tu ordenador.

LibreOffice es una suite de ofimática libre y de código abierto. Está entre las alternativas más populares a Microsoft Office, y disponible tanto para sistemas Windows como para Linux y macOS.

La primera de las vulnerabilidades (CVE-2019-9850), descubierta por Alex Inführ (@insertscript), es capaz de saltarse la protección de otra vulnerabilidad (CVE-2019-9848) reportada hace un mes y parcheada en la versión 6.2.5, en la que era posible ejecutar código remoto gracias a LibreLogo, un ambiente de programación simple que se utiliza para mover una imagen vectorial. Internamente los comandos escritos en el documento se traducen al lenguaje Python y se ejecutan. El problema es que la traducción no se realiza bien, y en ocasiones, si se escribe código Python directamente en el documento, al traducirse se mantiene igual. A partir de la versión 6.2.5 ya no era posible llamar a LibreLogo desde un controlador de eventos como puede ser MouseOver. Como decíamos al principio del párrafo, la nueva vulnerabilidad es capaz de saltarse esta protección debido a una insuficiente validación de URL, permitiendo llamar al evento que ejecuta LibreLogo.

La segunda vulnerabilidad (CVE-2019-9851) descubierta por Gabriel Masei de 1&1 también tiene relación con la reportada el mes pasado y descrita anteriormente (CVE-2019-9848). Como ya explicamos, para arreglar el fallo se inhabilitó la opción de ejecutar LibreLogo desde el documento a partir de un controlador de eventos, haciendo hincapié en «desde el documento» ya que esta nueva vulnerabilidad aprovecha la opción que brinda LibreOffice de ejecutar scripts preinstalados en eventos globales como puede ser ‘document-open‘ para cargar LibreLogo y así poder ejecutar comandos.

Por último, la tercera vulnerabilidad (CVE-2019-9852), descubierta por Nils Emmerich de ERNW Research GmbH, tiene relación con la anunciada en febrero de este año (CVE-2018-16858) ya que es posible evadir la protección, habilitando de nuevo el ataque ‘directory transversal‘ que permitiría ejecutar un script alojado en algún lugar del sistema de ficheros de la víctima.

La ejecución exitosa de cualquiera de estas vulnerabilidades dejaría nuestro sistema al descubierto, dándole acceso al atacante.

Desde Hispasec recomendamos que si usas LibreOffice lo actualices a su ultima versión 6.2.6/6.3.0 para prevenir este tipo de ataques.

Más información:

LibreOffice Security Advisories
https://www.libreoffice.org/about-us/security/advisories/

PoC de Nils Emmerich (CVE-2019-9848)
https://insinuator.net/2019/07/libreoffice-a-python-interpreter-code-execution-vulnerability-cve-2019-9848/

LibreLogo
https://help.libreoffice.org/6.1/es/text/swriter/librelogo/LibreLogo.html