1. 威客安全首页
  2. 安全资讯

LibreOffice < 6.2.5 通过宏/事件远程命令执行 CVE-2019-9848 漏洞复现

漏洞背景

       LibreOffice是OpenOffice办公套件衍生版, 同样自由开源,以Mozilla Public License V2.0许可证分发源代码,但相比OpenOffice增加了很多特色功能。LibreOffice拥有强大的数据导入和导出功能,能直接导入PDF文档、微软Works、LotusWord,支持主要的OpenXML格式。软件本身并不局限于Debian和Ubuntu平台,OpenXML格式Windows、Mac、PRM packageLinux等多个系统平台。


漏洞描述

        其中Word文档可以指定预安装的脚本可以在各种文档事件上执行,例如鼠标悬停等。默认情况下,LibreOffice随附LibreLogo,这是一个可编程移动Turtle矢量图形的宏。为了移动海龟,LibreLogo执行自定义脚本代码,该代码在内部转换为python代码并执行。这里的一个大问题是代码没有很好地编译,只是提供python代码作为脚本代码,经常在编译后产生相同的代码


漏洞影响

LibreOffice < 6.2.5   已在6.2.5 版本中修补。
经测试的操作系统:Windows + Linux(受影响)


漏洞复现

0x00 环境搭建

    测试版本  LibreOffice_6.2.4.2 for Windows

    下载地址  https://downloadarchive.documentfoundation.org/libreoffice/old/

LibreOffice < 6.2.5 通过宏/事件远程命令执行 CVE-2019-9848 漏洞复现

0x01 漏洞验证

    Poc  注意英文全小写 否则会报错

import os
os.system('calc.exe')
run # 这里Run代表一个执行动作
  • 新建OpenDocument Word文件

LibreOffice < 6.2.5 通过宏/事件远程命令执行 CVE-2019-9848 漏洞复现

  • 打开文档后输入Python命令的Poc 到文档中.

LibreOffice < 6.2.5 通过宏/事件远程命令执行 CVE-2019-9848 漏洞复现

  • 选中 run文字 再点击菜单栏处 插入-> 超链接

LibreOffice < 6.2.5 通过宏/事件远程命令执行 CVE-2019-9848 漏洞复现

  • URL 处任意输入好啦,再点击右边的小齿轮

LibreOffice < 6.2.5 通过宏/事件远程命令执行 CVE-2019-9848 漏洞复现

  • 选择事件 鼠标在对象之上  选择宏LibreLogo -> LibreLogo  ->> run 记得双击run   指定操作处有代码后确定

LibreOffice < 6.2.5 通过宏/事件远程命令执行 CVE-2019-9848 漏洞复现

  • 返回到word文档 run已经变成蓝色 鼠标移动到run事件上 python 命令执行;

  • 在我们的例子中,打开一个计算器,如下所示:

LibreOffice < 6.2.5 通过宏/事件远程命令执行 CVE-2019-9848 漏洞复现

Success!

LibreOffice < 6.2.5 通过宏/事件远程命令执行 CVE-2019-9848 漏洞复现

本篇文章来自安全脉搏:https://www.secpulse.com/archives/111552.html

漏洞分析

  • 回到刚才添加的这段代码

LibreOffice < 6.2.5 通过宏/事件远程命令执行 CVE-2019-9848 漏洞复现

  • 使用onmouseover事件和与LibreOffice一起安装的python示例。 在分配此脚本(或在LibreOffice 中调用的事件)并保存此文件后,查看创建的文件结构:

vnd.sun.star.script:pythonSamples|TableSample.py$createTable?language=Python&amp;location=share

    这看起来像是从本地文件系统加载一个文件并且假设是正确的

C:\Program Files\LibreOffice\share\Scripts\pythonLibreLogo\LibreLogo.py

LibreOffice < 6.2.5 通过宏/事件远程命令执行 CVE-2019-9848 漏洞复现

        该文件包含createTable函数。所以打开创建的ODT文件并将鼠标移到链接上,令我惊讶的是python文件在没有任何警告对话框的情况下执行。需要注意的是 LibreOffice附带了自己的python解释器,因此不需要实际安装python。所以命令能够被触发。

参考:https://www.libreoffice.org/about-us/security/advisories/cve-2019-9848

原文链接:https://www.secpulse.com/archives/111552.html

本站声明:网站内容来源于安全脉搏如有侵权,请联系我们,我们将及时处理。

本文转为转载文章,本文观点不代表威客安全立场。

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X