LibreOffice - Aber sicher!

Download der sicheren Beispielkonfiguration für LibreOffice

LibreOffice und das verwandte OpenOffice gehören zu den wenigen etablierten Office-Suiten neben den Produkten aus dem Hause Microsoft. Die Document Foundation schätzt, dass ca. 200 Millionen Benutzerinnen und Benutzer LibreOffice aktiv einsetzen. Office-Dokumente wie Bewerbungen, Rechnungen und Studienarbeiten finden häufig über das E-Mail-Postfach den Weg auf interne IT-Systeme. Enthalten diese Dateien Makros oder nutzen Schwachstellen in der Office-Suite aus, können Angreifer auf unseren Arbeitsplatzrechnern Fuß fassen. Eine wohlüberlegte Konfiguration der Office-Anwendung kann das Risiko eines erfolgreichen Angriffes reduzieren.

Das BSI unterstützt Administratoren schon seit einiger Zeit mit einem Leitfaden für die sichere Konfiguration von Microsoft Office. Für LibreOffice fehlte ein vergleichbares Dokument bislang.

OpenSource Security hat im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) einen entsprechenden Leitfaden entwickelt. Das Dokument fasst alle wichtigen Sicherheitseinstellungen zusammen und gibt Empfehlungen für eine sichere Konfiguration von LibreOffice. Der Leitfaden ist auf der Webseite des BSI verfügbar.

Das Dokument unterstützt den Benutzer bei der Erstellung einer ergänzenden XML-Konfigurationsdatei für LibreOffice. Die Konfiguration kann leicht installiert und an die eigenen Sicherheitsbedürfnisse angepasst werden. Eine vollständige Beispieldatei stellen wir auf unserer Webseite zur Verfügung. Hinweise zur Installation und Handhabung können dem Leitfaden entnommen werden.

Im Rahmen des Projektes ist OpenSource Security auf vier bislang unbekannte Sicherheitslücke in LibreOffice gestoßen. Über ein Responsible Disclosure Verfahren wurden alle Schwachstellen bei der Document Foundation gemeldet und inzwischen behoben.

Aufgrund der ersten Schwachstelle (CVE-2022-26305) kann sich ein Angreifer als vertrauenswürdiger Makro-Autor ausgeben. Die Makro-Sicherheitseinstellungen greifen durch diesen Fehler nicht mehr richtig und Schadcode kann ausgeführt werden. Für einen erfolgreichen Angriff muss aber mindestens ein Zertifikat von einem vertrauenswürdigen Makro-Autor in LibreOffice hinterlegt sein. Zusätzlich muss ein potenzieller Angreifer die Seriennummer des hinterlegten Zertifikats kennen. In Unternehmen, die sich mit signierten Makros vor Schadsoftware schützen, ist dieses Szenario aber realistisch und die Schwachstelle eine reale Gefahr.

Gleich zwei weitere Schwachstellen (CVE-2022-26306, CVE-2022-26307) betreffen die Sicherheit des Passwort-Safes von LibreOffice. Aus einem vermeintlich starkem Master-Passwort macht LibreOffice ein schwachen Key und nutzt diesen für die Verschlüsslung des Passwort-Safes. Durch den zweiten Fehler können sogar Teile der gespeicherten Passwörter ganz ohne das Master-Passwort wiederhergestellt werden. Damit letzteres gelingt, muss der Angreifer vorher mindestens eins der gespeicherten Kennwörter kennen oder erraten. Außerdem benötigt der Angreifer Zugriff auf die Datei, in der die Passwörter durch LibreOffice gesichert werden.

Durch die vierte Schwachstelle (CVE-2018-6871), welche im Kern bereits seit 2018 bekannt ist, kann ein Angreifer Dateiinhalte von der Festplatte des Opfers lesen und über HTTP auf einen Webserver übertragen. Durch die CSV-Import-Funktion der Tabellenkalkulation Calc kann der Inhalt einer beliebigen Datei in eine Tabelle geladen werden. In einem zweiten Schritt wird der Inhalt der Tabelle über eine Formel-Funktion per HTTP übertragen. Die Schwachstelle kann auch ausgenutzt werden, falls Makros deaktiviert sind.

Wer mit LibreOffice arbeitet, sollte die Office-Pakete auf den aktuellen Stand bringen. Die Versionen 7.2.7 und 7.3.3 dichten die Schwachstellen ab und können auf der Webseite von LibreOffice heruntergeladen werden.

Zusätzlich kann die Resilienz von LibreOffice durch die Umsetzung der Empfehlungen aus dem Leitfaden des BSI verbessert werden. Ein Angriff über die vier beschriebenen Schwachstellen läuft durch die Umsetzung der Empfehlungen ins Leere.