CVE-2025-1080 olarak izlenen LibreOffice’deki kritik bir güvenlik açığı, milyonlarca kullanıcıyı manipüle edilmiş makro URL’ler aracılığıyla potansiyel uzaktan kod yürütme saldırılarına maruz bıraktı.
4 Mart 2025’te piyasaya sürülen 24.8.5 ve 25.2.1 sürümlerinde yamalı bu kusur, saldırganların güvenlik protokollerini atlamasına ve LibreOffice’in özel URI şeması aracılığıyla keyfi komut dosyaları yürütmesine izin verdi.
Güvenlik açığı, belge işbirliği iş akışlarında kalıcı riskleri vurgular ve kurumsal ortamlarda hızlı yazılım güncellemelerinin gerekliliğinin altını çizer.
Güvenlik açığı, LibreOffice’in Microsoft SharePoint sunucularıyla entegrasyonu geliştirmek için tasarlanmış bir özellik olan VND.libreOffice.Command Uri Şeması’nı uygulamasında bulunmaktadır.
LibreOffice Güvenlik Açığı Komut dosyası yürütülmesine izin verir
Bu şema, SharePoint’te depolanan LibreOffice belgeleriyle tarayıcı tabanlı etkileşimleri sağlar ve karışık ofis süitleri kullanan kuruluşlar için iş akışlarını düzene sokar.
Danışmanlığa göre, 24.8.5 ve 25.2.1’den önceki sürümler bu URI’ler içindeki iç içe URL bileşenlerini sterilize edemedi.
Saldırganlar, tıklandığında LibreOffice’in makro yürütme motorunu yetkisiz bağımsız değişkenlerle tetikleyen gömülü iç URL’ler içeren kötü niyetli bağlantılar oluşturabilirler.
Kusurunu tanımlayan güvenlik analisti Amel Bouziane-Leblond şunları söyledi: “URI işleyicisi iç içe URL bileşenlerini düzgün bir şekilde sterilize edemedi ve güvenilmeyen kod için bir yürütme boru hattı oluşturdu.”
Belge indirmeleri gerektiren tipik kimlik avı saldırılarının aksine, bu istismar sadece bir web tarayıcısındaki bir köprü tıklayarak etkinleştirilir ve son derece gizli hale getirir.
İstismarın tasarımı, SharePoint ile entegre ortamlarda LibreOffice kullanan işletmeleri özellikle hedefliyor. Saldırganlar kötü niyetli yükleri görünüşte meşru belge paylaşım bağlantılarına yerleştirebilir ve potansiyel olarak tüm ağlardan ödün verebilir.
Örneğin, bir tehdit oyuncusu, açıldığında, fidye yazılımı dağıtmak veya hassas verileri dışarı atmak için bir makro yürüten “Q4 Finansal Raporu” başlıklı bir SharePoint bağlantısını dağıtabilir.
Bu güvenlik açığı, her ikisi de uygunsuz makro yürütme kontrollerini içeren CVE-2022-3140 (2022’de yamalı) ve CVE-2023-6186 (2023-6186’yı (2023-6186 (2023’te sabit) anımsatan bir uri işleme kusurları modelini sürdürür.
Bununla birlikte, CVE-2025-1080, tıkanma tıklaması ve eşleştirilmemiş sürümlerde kullanıcıya dönük uyarıların olmaması nedeniyle önemli bir artışı temsil eder.
LibreOffice’in bakımları, çok katmanlı güvenlik geliştirmeleri yoluyla güvenlik açığını ele aldı:
- Sıkı Uri Şeması Validasyonu: Yama, yuvalanmış URL bileşenleri üzerinde titiz kontroller getirerek, hatalı biçimlendirilmiş vnd.libreoffice.command uris’i engeller.
- Zorunlu Makro İzinler: Komut tetiklenen tüm makrolar artık “güvenilir” olarak işaretlenen belgeler için bile onay iletişim kutuları aracılığıyla açık kullanıcı onayı gerektiriyor.
- Sandboxing işlemi: Uri-işleyici işlemleri izole ortamlarda çalışır ve sömürü meydana gelirse sistem çapında uzlaşmayı önler.
Düzeltmeyi geliştiren Collabora verimliliğinden Caolán McNamara, “Bu değişiklikler, belgelenmemiş komuta enjeksiyon yollarını ortadan kaldırırken iş akışı işlevselliğini sürdürüyor”.
Kuruluşlar, SharePoint veya bulut işbirliği platformlarıyla uç noktalar arayüzüne öncelik vererek tüm LibreOffice kurulumlarını hemen güncellemelidir.
Hafifletme
- Anında yama: Resmi web sitesinden veya paket yöneticileri aracılığıyla LibreOffice 24.8.5 veya 25.2.1’e yükseltin.
- Ağ İzleme: Olağandışı vnd.libreOffice.Command URI aktivasyonları için günlükleri, özellikle güvenilmeyen kaynaklardan tarayın.
- Kullanıcı Eğitimi: Şüpheli SharePoint bağlantılarını tanımak ve istenmeyen belge URL’lerini tıklamaya karşı politikaları güçlendirme konusunda personeli eğitin.
- Makro Sertleştirme: Makro Yürütülmeyi Tools> Seçenekler> LibreOffice> Güvenlik> Makro Güvenlik aracılığıyla dijital olarak imzalanan komut dosyalarıyla kısıtlayın
CVE-2025-1080, açık kaynaklı ofis süitlerini sofistike sosyal mühendislik saldırılarına karşı güvence altına almanın gelişen zorluklarının altını çiziyor.
LibreOffice’in hızlı yaması, CVE-2022-3140 gibi daha önceki güvenlik açıklarına kıyasla gelişmiş yanıt verebilirlik gösterirken, uri işleyen kusurların tekrarlanması, tarayıcı entegrasyon özelliklerinin mimari denetimlerine ihtiyaç olduğunu düşündürmektedir.
İşletmeler giderek daha fazla hibrid ofis ortamlarını benimsedikçe, platformlar arası uyumluluk özellikleri birincil saldırı yüzeyleri olarak kalacaktır.
LibreOffice kullanıcıları, kapsamlı güvenlik çerçeveleri endüstri standardı haline gelene kadar tanıdık işbirliği platformlarını potansiyel tehdit vektörleri olarak bile tedavi ederek uyanık kalmalıdır.
Siber suçlular, açık kaynaklı yazılımın güven modelini giderek daha fazla hedeflemesiyle, işlevsellik ve güvenlik arasındaki hassas dengeyi korumak için hem geliştiriciler hem de kullanıcılara yük düşüyor.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free