Os mantenedores do LibreOffice e do OpenOffice enviaram atualizações de segurança para seu software com o intuito de remediar várias vulnerabilidades que poderiam ser transformadas em armas por agentes mal-intencionados para alterar documentos e fazê-los parecer que foram assinados digitalmente por uma fonte confiável.
A lista das três falhas são:
- CVE-2021-41830 / CVE-2021-25633 – Conteúdo e manipulação de macro com ataque de certificado duplo
- CVE-2021-41831 / CVE-2021-25634 – Manipulação de carimbo de data / hora com embalagem de assinatura
- CVE-2021-41832 / CVE-2021-25635 – Manipulação de conteúdo com ataque de validação de certificado
A exploração bem-sucedida das vulnerabilidades pode permitir que um invasor manipule o carimbo da data / hora de documentos ODF assinados e, pior, altere o conteúdo de um documento ou auto assine um documento com uma assinatura não confiável, que é então ajustado para alterar o algoritmo de assinatura para um inválido ou algoritmo desconhecido.
Em ambos os dois últimos cenários de ataque – originado como resultado de validação de certificado imprópria – o LibreOffice exibe incorretamente um indicador assinado de forma válida sugerindo que o documento não foi adulterado desde a assinatura e apresenta uma assinatura com um algoritmo desconhecido como uma assinatura legítima emitida por uma parte confiável.
Os pontos fracos foram corrigidos no OpenOffice versão 4.1.11 e no LibreOffice versões 7.0.5, 7.0.6, 7.1.1 e 7.1.2. A universidade Ruhr-Bochum recebeu o crédito por descobrir e relatar todos os três problemas.
As descobertas são as mais recentes em uma série de falhas descobertas pelos pesquisadores da Ruhr-University Bochum e seguem técnicas de ataque semelhantes divulgadas no início deste ano que podem permitir que um adversário modifique o conteúdo visível de um documento PDF certificado exibindo conteúdo malicioso sobre o conteúdo certificado, sem invalidando sua assinatura.
Os usuários do LibreOffice e do OpenOffice são aconselhados a atualizar para a versão mais recente para mitigar o risco associado às falhas.
REFERÊNCIAS:
https://thehackernews.com/2021/10/digital-signature-spoofing-flaws.html
https://cwiki.apache.org/confluence/display/OOOUSERS/AOO+4.1.11+Release+Notes
https://en.wikipedia.org/wiki/Digital_signature#Some_digital_signature_algorithms