파일을 열 때 코드 실행을 허용하는 OpenOffice의 취약점

DBF 형식으로 특별히 설계된 파일을 열 때 코드 실행을 허용하는 취약점(CVE-2021-33035)이 Apache OpenOffice 오피스 제품군에서 확인되었습니다. 문제를 발견한 연구원은 Windows 플랫폼에 대해 작동하는 익스플로잇을 만드는 것에 대해 경고했습니다. 취약점 수정은 현재 OpenOffice 4.1.11의 테스트 빌드에 포함된 프로젝트 저장소의 패치 형태로만 제공됩니다. 안정 브랜치에 대한 업데이트는 아직 없습니다.

이 문제는 OpenOffice가 필드의 실제 데이터 유형이 일치하는지 확인하지 않고 DBF 파일 헤더의 fieldLength 및 fieldType 값에 의존하여 메모리를 할당하기 때문에 발생합니다. 공격을 수행하려면 fieldType 값에 INTEGER 유형을 지정하면 되지만 더 큰 데이터를 배치하고 INTEGER 유형의 데이터 크기에 해당하지 않는 fieldLength 값을 지정하면 데이터의 꼬리가 발생하게 됩니다. 할당된 버퍼 너머에 기록되는 필드에서. 제어된 버퍼 오버플로의 결과로 연구원은 함수에서 반환 포인터를 재정의할 수 있었고 반환 지향 프로그래밍 기술(ROP - 반환 지향 프로그래밍)을 사용하여 코드를 실행할 수 있었습니다.

ROP 기술을 사용할 때 공격자는 자신의 코드를 메모리에 배치하려고 시도하지 않고 로드된 라이브러리에서 이미 사용할 수 있는 기계 명령어 부분에서 작동하고 제어 반환 명령어로 끝납니다(일반적으로 라이브러리 함수의 끝입니다). . 익스플로잇 작업은 원하는 기능을 얻기 위해 유사한 블록("가젯")에 대한 호출 체인을 구축하는 것으로 요약됩니다. OpenOffice 익스플로잇에 사용된 가젯은 OpenOffice 자체와 달리 DEP(Data Execution Prevention) 및 ASLR(Address Space Layout Randomization) 보호 메커니즘 없이 컴파일된 OpenOffice에 사용된 libxml2 라이브러리의 코드였습니다.

OpenOffice 개발자들은 4월 30일에 이 문제에 대해 통보받았으며, 이후 18월 4.1.11일에 취약점이 공개될 예정이었습니다. 안정적인 브랜치에 대한 업데이트가 예정된 날짜까지 완료되지 않았기 때문에 연구원은 세부 정보 공개를 2021월 38646일로 연기했지만 오픈오피스 개발자들은 이 날짜까지 릴리스 XNUMX을 작성하지 못했습니다. 동일한 연구에서 Microsoft Office Access의 DBF 형식 지원 코드(CVE-XNUMX–XNUMX)에서도 유사한 취약점이 발견되었으며, 이에 대한 자세한 내용은 추후 공개될 예정입니다. LibreOffice에서는 문제가 발견되지 않았습니다.

출처 : opennet.ru