Vulnerabilidad en LibreOffice permite hackear tu computadora con solo abrir un archivo
¿Estás usando LibreOffice?
Debes tener mucho cuidado con los documentos que abras con el software LibreOffice en los próximos días.
Esto se debe a que LibreOffice contiene una grave vulnerabilidad de ejecución de código sin parches, que podría infiltrar malware en tu sistema tan pronto como abras un documento creado con fines malintencionados.
LibreOffice es una de las alternativas de código abierto más populares a la suite Microsoft Office, y está disponible para sistemas Windows, Linux y macOS.
A principios de este mes, LibreOffice lanzó la última versión 6.2.5 de su software que soluciona dos vulnerabilidades graves (CVE-2019-9848 y CVE-2019-9849), pero el parche para el primero ahora ha sido burlado, afirma el investigador de seguridad Alex Inführ.
Aunque Inführ aún no ha revelado detalles de la técnica que le permitió evadir el parche, el impacto de esta vulnerabilidad sigue siendo el mismo, como se explica a continuación.
Primera Vulnerabilidad
1.) CVE-2019-9848: esta vulnerabilidad, que todavía existe en la última versión, reside en LibreLogo, un script de gráficos vectoriales de tortuga programable que viene de manera predeterminada con LibreOffice.
LibreLogo permite a los usuarios especificar scripts preinstalados en un documento que se puede ejecutar en varios eventos, como pasar el mouse.
Descubierto por Nils Emmerich, la falla podría permitir a un atacante crear un documento malicioso que pueda ejecutar silenciosamente comandos python arbitrarios, sin mostrar ninguna advertencia a un usuario objetivo.
“El gran problema aquí es que el código no está bien traducido y solo proporciona código de Python, ya que el código del script a menudo da como resultado el mismo código después de la traducción”, dijo Emmerich.
“Utilizando formularios y el evento OnFocus, incluso es posible obtener la ejecución del código cuando se abre el documento, sin la necesidad de un evento al pasar el mouse”.
Emmerich también lanzó una prueba de concepto para este ataque en su publicación de blog.
Segunda Vulnerabilidad
2.) CVE-2019-9849: esta vulnerabilidad, que puedes solucionar instalando la última actualización disponible, podría permitir la inclusión de contenido arbitrario remoto dentro de un documento, incluso cuando el ‘modo oculto’ esté habilitado.
El modo oculto no está habilitado de manera predeterminada, pero los usuarios pueden activarlo para indicar a los documentos que recuperen recursos remotos solo de ubicaciones confiables.
Cómo proteger tu sistema
Inführ ya ha notificado al equipo de LibreOffice sobre el problema de evasión, pero hasta que el equipo libere un parche para corregir la evasión, se recomienda a los usuarios que actualicen o reinstalen el software sin macros o al menos sin el componente LibreLogo, siguiendo los pasos mencionados a continuación.
- Abre la configuración para comenzar la instalación.
- Selecciona la instalación “personalizada”
- Expande “Componentes opcionales”
- Has clic en “LibreLogo” y selecciona “Esta función no estará disponible”
- Has clic en Siguiente y luego instala el software