El
investigador Timothy D. Morgan de la firma VSR Security ha descubierto una
vulnerabilidad (CVE-2012-0037)
en el componente 'libraptor'
utilizado por diversas suites ofimáticas de tipo libre/GNU para interpretar
documentos XML bajo el formato Open Document File (ODF). LibreOffice,
OpenOffice, AbiWord y KOffice se verían afectadas entre otras.
OpenOffice (Apache) ha determinado que la vulnerabilidad tendría un
impacto de revelación de información. LibreOffice ha considerado un riesgo
mayor, elevándolo a ejecución remota de código. Las actualizaciones 3.4.6/3.5.1
de LibreOffice la corrigen y existe un parche para la versión de OpenOffice
3.3.
El fallo residiría en una
incorrecta política de seguridad a la hora de interpretar documentos XML que utilicen entidades de declaración personalizadas,
y usen la librería afectada (libraptor), puesto que no controla la carga de
entidades externas.
Esto permitiría un ataque de tipo
XXE (XML External Entity)
facilitando el robo de información o la aceptación de contenido externo a
través de canales no seguros. Crearía una vía para la ejecución remota de
código arbitrario, a través de documentos ODF (Open Document Format, por ejemplo
los ".odt") especialmente
manipulados.
Un ejemplo de la vulnerabilidad:
Un documento ODF utiliza
compresión ZIP y está compuesto por diferentes archivos en su estructura, en
particular, un “manifest.rdf” estructurado
mediante RDF/XML.
RDF (Resource Description Framework) es utilizado para guardar
metadatos asociados con determinados elementos de un documento y en el fichero manifest.rdf,
se pueden hacer referencias a ficheros RDF secundarios, albergados en la propia
estructura del documento ODF o externos a él (vía HTTP o FTP).
Tomemos como ejemplo un .RDF
malicioso embebido en un documento ODF.:
Éste sería capaz de leer el
contenido de "win.ini" de
nuestro sistema y lo incluiría luego en los metadatos propios del documento ODF, quedando de esta manera (el
contenido de win.ini se observa más abajo):
Este simple ejemplo puede
potenciarse hasta conseguir un impacto mucho mayor, dependiendo de la
implementación hecha de la librería afectada en cada software:
- Un atacante podría crear un sitio
web con un fichero .odt compuesto por un formulario configurado para reenviarse
al atacante.
- El usuario descarga o recibe el
fichero, lo rellena y lo guarda, sin saber que está siendo enviado.
- El atacante sólo tiene que descomprimir el ficheor ODF para averiguar los ficheros de configuración de la víctima, o cualquier otros documento que resida en su sistema.
Se recomienda actualizar las suites ofimáticas
afectadas a través de los canales oficiales de cada fabricante.
Más información:
libraptor - XXE in RDF/XML File
Interpretation
CVE-2012-0037: OpenOffice.org data leakage
vulnerability
CVE-2012-0037: XML Entity Expansion flaw by
processing RDF file
José Mesa Orihuela
No hay comentarios:
Publicar un comentario