Angreifer könnten Opfern mit LibreOffice oder OpenOffice erstellte und präparierte Dokumente unterjubeln, um eigenen Code auf Computern auszuführen. Dafür soll das Öffnen der Dokumente und einige Mausbewegungen ausreichen. Zum jetzigen Zeitpunkt haben nur die Entwickler von LibreOffice abgesicherte Versionen veröffentlicht. OpenOffice bleibt verwundbar. Es sollen die Linux- und Windows-Versionen betroffen sein.

Der Angriff

Um ein Office-Dokument für einen Angriff vorzubereiten, müssten Angreifer im ersten Schritt lediglich eine vorinstallierte Makrofunktion erstellen, die Python-Skripte ausführt – den dafür nötigen Interpreter bringt LibreOffice standardmäßig mit, erläutern die Entwickler in einer Sicherheitswarnung.

Mit den richtigen Einstellungen passiert die Ausführung ohne weitere Nachfragen, wenn man mit dem Mauszeiger über das Element fährt. Aufgrund der Directory-Traversal-Lücke (CVE-2018-16858) funktioniert das mit allen Skripten auf einem lokalen System.

Noch gefährlicherer Angriff

Für eine erfolgreiche Attacke müsste ein Angreifer einem Opfer eine manipuliertes Office-Dokument nebst Python-Skript unterschieben und es zum Öffnen des Dokumentes bewegen. Um die Angriffsfläche zu maximieren, könnte ein Angreifer das Mouse-over-Element so groß anlegen, dass es die gesamte Seite eines Dokumentes ausfüllt,

Ab LibreOffice 6.1.x sind Attacken noch gefährlicher: In diesem Versionsstrang kann man beim Aufrufen von Python-Skripten auch Parameter übergeben. So hat der Sicherheitsforscher und Entdecker der Schwachstelle Alex Inführ mit seinem Exploit in einem Video den Taschenrechner von Windows geöffnet – ein Angreifer könnte auf diesem Weg gefährlichen Code ausführen. Weitere Details zur Schwachstelle beschreibt Inführ in einem Beitrag.

Updates