LibreOffice Flaw Allows Attackers to Run Arbitrary Scripts via Macro URL
- 취약점 개요
- CVE-2025-1080은 LibreOffice의 URI 처리 기능에서 발생한 보안 취약점으로, 악성 매크로 명령이 포함된 링크 클릭 시 공격자가 임의의 스크립트를 실행할 수 있음
- 해당 취약점은 2025년 3월 4일 배포된 버전 24.8.5 및 25.2.1에서 패치 완료
- SharePoint 통합을 위한 URI Scheme(
vnd.libreoffice.command)에서 URL 내 중첩된 컴포넌트를 적절히 검증하지 않아 발생
- 기술적 상세 및 공격 메커니즘
- LibreOffice의 Office URI Scheme 기능은 문서 공동작업을 위한 브라우저 연동 기능을 제공함
- 공격자는
vnd.libreoffice.command스킴에 중첩된 악성 URL을 삽입해 사용자가 웹 브라우저에서 해당 링크를 클릭할 경우 매크로가 비인가 인자와 함께 실행됨 - 보안 분석가 Amel Bouziane-Leblond에 따르면 URI 핸들러가 중첩 URL 요소를 제대로 필터링하지 못해 외부 명령 실행 경로가 열림
- 사용자 조작은 단순 링크 클릭에 불과하며, 추가적인 사용자 동의 없이 공격이 수행될 수 있음
- 패치 내용 및 대응 방안
- LibreOffice는 최신 버전에서 URI 핸들링 방식을 강화해 다음과 같은 조치를 포함함
- 중첩 URL 컴포넌트에 대한 엄격한 스키마 검증
- 명령 기반 URI 실행 시 매크로 실행 확인 대화상자 표시
- URI 핸들러 프로세스에 대한 샌드박싱 적용
- 패치 적용이 불가능한 조직은 그룹 정책 또는 응용프로그램 하드닝 도구를 활용해 브라우저 연동 기능을 비활성화할 것
- LibreOffice는 최신 버전에서 URI 핸들링 방식을 강화해 다음과 같은 조치를 포함함
- 결론
- URI 스킴을 통한 매크로 실행 기능은 사용 편의성을 높이는 동시에 치명적인 보안 취약점을 초래할 수 있음
- 생산성 소프트웨어가 사용하는 외부 연동 기능은 보안 취약점 악용의 우회 경로가 될 수 있어 사전 검증과 사용자 교육이 중요
- 보안 연구자와 오픈소스 커뮤니티의 협업은 위협 탐지와 대응에 효과적이라는 점을 다시금 입증함
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Mirai 기반 봇넷, Edimax IP 카메라 제로데이 취약점(CVE-2025-1316) 악용 분석 (0) | 2025.04.12 |
|---|---|
| 일본 대상 PHP-CGI 원격코드실행 취약점 악용 공격 분석 (0) | 2025.04.12 |
| ZITADEL IDOR 취약점으로 주요 설정 변경 가능, 계정 탈취 및 보안 우회 위험 (0) | 2025.03.31 |
| Kibana 원격 코드 실행 취약점(CVE-2025-25015) 긴급 보안 패치 발표 (0) | 2025.03.31 |
| Apache Airflow 오픈소스 워크플로우 플랫폼의 설정오류로 인한 자격증명 유출 취약점 분석 (0) | 2025.03.31 |