Aus Linux-Magazin 03/2023

Wie sich die Sicherheit von LibreOffice verbessern lässt

© Dmitrii Shironosov / 123RF.com

Bürosuiten zählen zur meistgenutzten Software überhaupt, und so versuchen auch Cyberkriminelle, an diesem Punkt anzugreifen. Ein wesentlicher Baustein der Gegenwehr ist eine sichere Konfiguration. Dafür gibt das BSI jetzt Empfehlungen.

Office-Anwendungen sind neben dem Webbrowser und dem E-Mail-Client die Arbeitstiere auf jedem Computer. Die meisten Anwender öffnen, lesen oder erstellen täglich verschiedene Office-Dokumente. Die kommen häufig in Form eines E-Mail-Anhangs und lassen sich routinemäßig per Doppelklick öffnen. Was soll schon passieren? Der Virenscanner auf dem E-Mail-Server würde Schadsoftware doch bestimmt erkennen und in Quarantäne befördern, bevor Schlimmeres passiert.

Allerdings zeigen die vielen erfolgreichen Ransomware-Angriffe auf Unternehmen und Behörden, dass die Abwehr von mit Malware verseuchten Office-Dokumenten nicht immer gelingt. Zur initialen Infektion dienen häufig als Rechnung oder Bewerbung getarnte Dokumente mit Schadcode. Ein effektives Sicherheitskonzept verlässt sich deswegen nicht auf einzelne Maßnahmen wie einen Virenscanner, sondern nutzt verschiedene Bausteine für die Abwehr von Angriffen.

Eine dabei häufig übersehende Komponente ist die wohlüberlegte Konfiguration der Office-Anwendung. Das BSI unterstützt Systembetreuer schon seit einiger Zeit mit einem Leitfaden für die sichere Konfiguration von Microsoft Office [1], für LibreOffice fehlte ein vergleichbares Dokument bislang. Mit der kürzlich veröffentlichten Empfehlung zur sicheren Konfiguration von LibreOffice [2] erhalten jetzt auch Administratoren und Endanwender entsprechende Hinweise. Die vorgeschlagenen Einstellungen lassen sich leicht treffen und an die eigenen Sicherheitsbedürfnisse anpassen.

Wo lauert die Gefahr?

Bevor Sie mit der Konfiguration loslegen, sollten Sie sich kurz die aktuelle Bedrohungslage vergegenwärtigen und verstehen, welche Schwachstellen Angreifer in Office-Anwendungen ausnutzen können.

Nach wie vor geht die größte Gefahr von Makros aus. Kaum ein Bericht über einen erfolgreichen Ransomware-Angriff kommt ohne das Wort Phishing oder den Hinweis aus, dass ein Dokument ein schadhaftes Makro enthielt. Das wesentliche Problem: Die kleinen Programme lassen sich nicht in einer Sandbox ausführen, wie man es zum Beispiel von Javascript im Webbrowser kennt. Vielmehr haben Makros vollen Zugriff auf das Dateisystem und können beliebige Software aus dem Internet nachladen und ausführen. Sie sind damit das optimale Werkzeug, um auf einem System Fuß zu fassen. Eine möglichst restriktive Konfiguration der Makro-Funktionen verbessert deshalb die Sicherheit bereits erheblich.

Benutzer werden häufig durch Social-Engineering-Tricks dazu gebracht, die Makro-Sicherheit mit einigen zusätzlichen Klicks wieder zu reduzieren. Eine administrative Festlegung von Sicherheitseinstellungen kann in diesem Fall vor Fehlern schützen.

Eine weitere beliebte Taktik Krimineller ist das Ausnutzen von klassischen Implementierungsfehlern, beispielsweise Memory-Corruption-Schwachstellen in der Bürosuite. Es versteht sich, dass das Deaktivieren oder Einschränken von Makros in diesem Fall keine Hilfe bietet. Die schnelle Installation von Sicherheitsaktualisierungen und das Verringern der Angriffsoberfläche durch Deaktivieren wenig genutzter Dateiformate und Funktionen reduziert aber auch hier das Risiko für einen erfolgreichen Angriff.

Weniger auf dem Schirm haben dürften die meisten Administratoren einige unbekanntere Angriffstechniken. LibreOffice erlaubt beispielsweise die Installation von Extensions. Dabei handelt es sich um eigenständige Programme, die den Funktionsumfang von LibreOffice erweitern. Extensions stehen somit den Makros in Sachen Gefährlichkeit um nichts nach. Es überrascht, wie leicht ein Benutzer eine Extension installieren kann. Ein Doppelklick auf das Datei-Icon, das dem eines Textdokuments ähnelt, danach ein Klick auf OK – schon ist die Schadsoftware installiert (Abbildung 1).

Abbildung 1: Klickt der Benutzer hier auf <span class="ui-element">OK</span>, wird direkt Schadcode ausgef&uuml;hrt.

Abbildung 1: Klickt der Benutzer hier auf OK, wird direkt Schadcode ausgeführt.

Als problematisch erweisen sich auch Verknüpfungen auf externe Ressourcen. Bilder oder andere Mediendateien müssen nicht direkt in das Dokument eingebettet werden, sondern lassen sich auch als Referenzen angeben, etwa in Form eines HTTP-Links. Öffnet der Benutzer ein solches Dokument, ruft LibreOffice die verknüpften Ressourcen automatisch ab. Ein Angreifer kann ein kleines, unsichtbares Bild als Wanze einsetzen. Im Webserver-Log des Angreifers tauchen Zeitpunkt, IP-Adresse und User-Agent des Opfers auf. Diese Informationen lassen sich für die Vorbereitung von weiteren Angriffen nutzen. Über externe Ressourcen lässt sich außerdem der Virenscanner austricksen. Wird der eigentliche Schadcode erst nachgeladen, wenn das Dokument bereits geöffnet ist, kann der Virenscanner in dem eigentlichen Office-Dokument nichts finden.

Noch gefährlicher sind externe Verknüpfungen in Kombination mit Funktionen für Formeln. Das demonstriert beispielhaft die Schwachstelle CVE-2018-6871, von der LibreOffice betroffen war: Dabei lädt LibreOffice Calc über eine externe Verknüpfung den Inhalt einer beliebigen Datei in eine Tabelle. In einem zweiten Schritt wird der Inhalt der Tabelle per Formel-Funktion via HTTP übertragen. Bei externen Verknüpfungen ist also Vorsicht geboten.

Die Konfigurationsempfehlungen des BSI adressieren diese wesentlichen Punkte. Neben dem Deaktivieren von Makros und dem Einschränken des automatischen Nachladens externer Ressourcen sehen sie das vollständige Abschalten wenig genutzter Dateiformate vor. Hinzu kommen eine häufige Suche nach Updates und das Unterbinden der Installation von Extensions durch den Benutzer. Weitere Empfehlungen betreffen die Privatsphäre des Anwenders oder regeln andere Details der sicheren Konfiguration.

LibreOffice-Konfiguration

LibreOffice bezieht je nach verwendetem Betriebssystem zusätzliche Konfigurationsdateien aus unterschiedlichen Quellen. Unter Windows fallen die Gruppenrichtlinien in diese Kategorie, unter Linux das Gnome-3-Konfigurationssystem Dconf. Betriebssystemunabhängig kann die Konfiguration auf jeder Plattform durch XML-Dateien eingespielt werden.

LibreOffice trennt administrative Konfigurationsvorgaben von individuellen Einstellungen des Benutzers. Beispielsweise lassen sich unter Microsoft Windows administrative Vorgaben über die Gruppenrichtlinien vorgeben. Individuelle Einstellungen hingegen landen weiter im Benutzerprofil. Grundsätzlich haben die individuellen Einstellungen Vorrang vor administrativen Vorgaben. Das ermöglicht es dem Benutzer, LibreOffice an die eigenen Bedürfnisse anzupassen.

Der Administrator hat jedoch die Möglichkeit, einzelne Konfigurationsvorgaben als final zu kennzeichnen. So lassen sich sicherheitsrelevante Einstellungen vor einer Änderung durch den Benutzer schützen. Praktisch ist auch, dass nicht alle unterstützten Konfigurationswerte in den Gruppenrichtlinien oder einer XML-Datei geführt werden müssen. Stattdessen kann der Administrator lediglich einzelne wichtige Einstellungen konfigurieren. Für die restlichen Konfigurationswerte gelten dann weiterhin die Standardeinstellungen.

Durch diese Flexibilität lässt sich LibreOffice in wichtigen Aspekten zentral konfigurieren, ohne dass sich der Administrator mit den Details der immerhin über 20 000 verschiedenen Konfigurationswerte beschäftigen muss. Wollen Sie nur einige wenige Konfigurationswerte für die eigene Installation anpassen, erledigen Sie das mithilfe des Werkzeugs Experteneinstellungen (Abbildung 2) aus dem Menü Extras | Optionen | LibreOffice (Erweitert). In diesem Fall werden die Einstellungen im Benutzerprofil abgelegt. Anders als über die normalen Konfigurationsmenüs von LibreOffice lassen sich mit diesem Werkzeug aber alle Konfigurationswerte anpassen.

Abbildung 2: LibreOffice bringt das Tool <span class="ui-element">Experteneinstellungen</span> mit, &uuml;ber das sich alle Einstellungen &auml;ndern lassen.

Abbildung 2: LibreOffice bringt das Tool Experteneinstellungen mit, über das sich alle Einstellungen ändern lassen.

Individuelle Konfiguration

Die einfachste und plattformübergreifende Möglichkeit zur Konfiguration von LibreOffice bieten XML-Dateien. Abbildung 3 zeigt eine minimale Konfigurationsdatei. Sie beginnt mit einem für XML üblichen Prolog, gefolgt vom Wurzelelement einschließlich der Definition der verwendeten Namensräume. Die einzelnen Konfigurationswerte erscheinen als untergeordnete Elemente. In Abbildung 3 wird als Beispiel die Option »ooInetProxyType« definiert.

Abbildung 3: Eine minimale Konfigurationsdatei f&uuml;r LibreOffice.

Abbildung 3: Eine minimale Konfigurationsdatei für LibreOffice.

Die genaue Syntax der sicherheitsrelevanten Konfigurationsempfehlungen können Sie den Sicherheitsempfehlungen des BSI für LibreOffice [2] entnehmen. Zusätzlich steht eine fertige Referenzkonfiguration in Form einer XML-Datei [3] zur Verfügung. Die Referenzkonfiguration lässt sich leicht an die eigenen Bedürfnisse anpassen und bietet einen guten Startpunkt für eine individuelle Konfiguration. Eine weiterführende Dokumentation zu dem eingesetzten XML-Konfigurationsformat findet sich im Wiki von OpenOffice [4]. Möchten Sie einfach alle Konfigurationsempfehlungen des BSI übernehmen, können Sie die Datei auch direkt ohne Anpassungen nutzen.

Die fertige Konfigurationsdatei speichern Sie unter einem beliebigen Dateinamen mit der Endung ».xcd« und verteilen sie danach auf die verschiedenen LibreOffice-Instanzen, beispielsweise im Rahmen eines automatischen Software-Deployment-Prozesses. Zum Aktivieren der Konfiguration muss die XML-Datei lediglich in den dafür vorgesehenen Ordner kopiert werden. Dessen Pfad hängt von der genutzten Plattform ab (siehe Tabelle “Pfade zur Konfigurationsdatei”). Nach einem Neustart von LibreOffice sind die zusätzlichen Einstellungen aktiv.

Betriebssystem

Pfad

alternativer Pfad

Windows (64 Bit)

»C:\Program Files\LibreOffice\share\registry\res«

»C:\Programme\LibreOffice\share\registry\res«

Windows (32 Bit)

»C:\Program Files (x86)\LibreOffice\share\registry\res«

»C:\Programme (x86)\LibreOffice\share\registry\res)«

Linux

»/opt/libreofficeVersion/share/registry/res«

(siehe Hinweis)

MacOS

»/Applications/LibreOffice.app/Contents/Resources/registry/res«

Hinweis: Linux-Distributionen nutzen möglicherweise abweichende Konfigurationspfade. Beachten Sie die Dokumentation der Distribution.

Praxistest

Am Beispiel konkreter Schwachstellen lässt sich die Wirksamkeit der Konfigurationsempfehlungen in der Praxis überprüfen. Für einen Test konsultieren Sie die aktuellen Security Advisories auf der LibreOffice-Webseite und untersuchen das Ausnutzen der Schwachstellen an einer verwundbaren LibreOffice-Version. Zunächst testen Sie mit den Standardeinstellungen, danach mit aktivierter Konfigurationsempfehlung.

Die Schwachstelle CVE-2022-26305 erlaubt einem Angreifer, ein selbst signiertes Makro auszuführen. Das klappt in der Standardeinstellung auch bei nicht vertrauenswürdigen Signaturen. Bei aktiver Konfigurationsempfehlung ist die Ausführung von Makros vollständig deaktiviert und das Ausnutzen dieser Schwachstelle somit nicht möglich.

Gleich zwei weitere Schwachstellen (CVE-2022-26306, CVE-2022-26307) betreffen die Sicherheit des Passwort-Safes von LibreOffice. Er leitet aus einem vom Benutzer angegebenen Master-Passwort einen schwachen kryptografischen Schlüssel ab und nutzt ihn zum verschlüsselten Speichern von Benutzerkennwörtern. Der abgeleitete Schlüssel besitzt unabhängig vom gewählten Master-Passwort lediglich eine Entropie von 43 Bit und verfehlt damit übliche Sicherheitsanforderungen deutlich. Durch den zweiten Fehler lassen sich unter Umständen Teile der gespeicherten Passwörter ganz ohne Kenntnis des Master-Passworts wiederherstellen. Im Rahmen der Konfigurationsempfehlungen wird die Verwendung des Passwort-Safes deaktiviert, was die Gefahr einer unsicheren Speicherung von Benutzerkennwörtern beseitigt.

Über die im Zusammenhang mit Verknüpfungen bereits beschriebene Schwachstelle CVE-2018-6871 kann ein Angreifer Dateiinhalte von der Festplatte des Opfers lesen und via HTTP auf einen Webserver übertragen. Als Angriffsvektor fungiert hier das Nachladen von externen Ressourcen in eine LO-Calc-Tabelle. Im Kern war diese Schwachstelle bereits seit 2018 bekannt, trotzdem gelang bis vor Kurzem das Ausnutzen durch ein nicht dokumentiertes Verfahren. Auch in diesem Fall ist auf die Konfigurationsempfehlungen Verlass, die es verbieten, Dateiinhalte in eine Tabelle zu laden. Der Benutzer erhält eine Warnung, dass dieses Features deaktiviert ist.

Grenzen zeigt aber die Schwachstelle CVE-2022-3140 auf. Sie ermöglicht das automatische Ausführen von Makros beim Öffnen eines Dokuments, ohne dass der Nutzer hierzu seine Zustimmung geben muss. Obwohl die Konfigurationsempfehlungen das Ausführen von Makros eigentlich unterbinden, lässt sich die Schwachstelle ausnutzen: Bei dem zugrunde liegenden Ausführungspfad ignoriert LibreOffice die genannte Einstellung. Derartige Implementierungsfehler kann auch eine sichere Konfiguration nur schwer einfangen, hier hilft nur ein Update der Software.

Dank der Konfigurationsempfehlungen muss der Benutzer aber immerhin nicht eine Woche warten, bis der Update-Check von LibreOffice eine neue Sicherheitsaktualisierung bemerkt. Mit aktiver Konfigurationsempfehlung wird er bereits nach 24 Stunden gewarnt.

Fazit

Die Konfigurationsempfehlung des BSI adressiert die aktuelle Bedrohungslage und verbessert die Sicherheit von LibreOffice mit einigen wenigen Handgriffen. Im Praxistest zeigt sich, dass die empfohlenen Einstellungen tatsächlich das Ausnutzen verschiedener Schwachstellen verhindern. Gleichzeitig bleibt LibreOffice für alle typischen Anwendungsfälle benutzbar. Sie erkaufen den Zugewinn an Sicherheit also nicht durch eine in der Praxis unbrauchbare Konfiguration. Sollten Sie einzelne Features dennoch unbedingt benötigen, können Sie die Konfiguration leicht anpassen. Es sollte aber auch klar sein, dass die Empfehlungen nicht jede erdenkliche Schwachstelle abriegeln können, sondern lediglich andere notwendige Abwehrmaßnahmen sinnvoll ergänzen. (jcb/jlu)

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 4 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben