No último dia 26 de setembro, o Center for Internet Security (CIS) publicou em seu site uma vulnerabilidade no LibreOffice que pode permitir a execução arbitrária de comandos.
O LibreOffice é um pacote de ferramentas de código aberto que fornece processamento de texto, slides e planilhas. A exploração bem-sucedida dessa vulnerabilidade permitirá que o invasor execute comandos no contexto do usuário, executando o aplicativo afetado. Dependendo dos privilégios associados ao usuário, um invasor pode instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com todos os privilégios do usuário.
Já existe uma Prova de Conceito (PoC) disponível para essa vulnerabilidade. O risco para grandes e médias entidades governamentais e empresas é ALTO. Para pequenas entidades governamentais e pequenas empresas o risco é MÉDIO.
A seguir apresentamos as recomendações a serem tomadas:
-
- Aplicar patches ou modificações apropriadas fornecidas pelo LibreOffice a sistemas vulneráveis;
- Execute todo o software como um usuário sem privilégios (um sem direitos administrativos) para diminuir os efeitos de um ataque bem-sucedido;
- Lembre a todos os usuários para não abrir sites não confiáveis ou abrir links fornecidos por fontes desconhecidas ou não confiáveis;
- Informar e ensinar os usuários sobre ameaças colocadas por links de hipertexto contidos em e-mails ou anexos, especialmente de fontes não confiáveis;
- Aplique o Princípio do Menor Privilégio a todos os sistemas e serviços.
Para saber do resumo técnico da vulnerabilidade clique aqui.