Fehler in Microsoft Outlook 2007-2013 für Windows und Mac entdeckt, der einen Billion laughs-Angriff ermöglicht

Sicherheitsforscher Lubomir Stroetmann von softScheck hat eine Denial-of-Service-Sicherheitsanfälligkeit in Microsoft Outlook 2007, 2010 und 2013, die auf dem Windows-Betriebssystem läuft, sowie in Microsoft Outlook 2011 für MAC identifiziert. Lubomir sagt, dass er Microsoft über die Sicherheitsanfälligkeit informiert hat, Microsoft die Sicherheitsanfälligkeit anerkannt hat, aber noch kein Patch veröffentlicht wurde.

• *

Lubomir sagte, dass der Fehler zwar ein mittleres Risiko darstellt, ein potenzieller Angreifer ihn jedoch für einen Denial-of-Service-Angriff nutzen kann. Um den Fehler auszuführen, kann ein Angreifer eine E-Mail im Nur-Text-Format mit einer XML-Bombe als Nachrichteninhalt senden, was dazu führt, dass Outlook beim Öffnen der E-Mail einfriert. Dies zwingt den Benutzer, den Outlook-Prozess zu beenden. In der Standardkonfiguration von Outlook, in der die E-Mail-Inhalte im Lesebereich im Hauptfenster angezeigt werden, ist die Auswirkung schwerwiegender: Outlook friert beim Starten ein und kann nicht mehr gestartet werden, da es versucht, die E-Mail während des Starts zu öffnen und anzuzeigen. Eine XML-Bombe ist auch als Billion laughs bekannt. Die Billion laughs Eine XML-Bombe besteht aus einer gültigen XML-Dokumenttypdefinition (DTD), die mehrere geschachtelte Entitäten enthält, die jeweils auf die vorhergehende verweisen. Wenn die E-Mail geöffnet wird, friert Outlook ein, während es versucht, alle geschachtelten Entitäten im Speicher zu erweitern, was dazu führt, dass der Outlook-Prozess den RAM-Verbrauch stetig erhöht. Diese Art von Angriff wurde bereits 2003 gemeldet und 2009 in einem Microsoft-Bericht ausführlich behandelt. Nach Abschluss der Erweiterung kehrt Outlook schließlich in einen stabilen Zustand zurück, weshalb Lubomir dies als mittleren Risiko-Fehler eingestuft hat. Sobald die XML-Bombe jedoch vom Benutzer empfangen wurde, kann Outlook Tage in Anspruch nehmen, und aufgrund des exponentiellen Wachstums der Aufgabe kann es noch länger dauern, wenn weitere Verschachtelungen hinzugefügt werden.

• *

Lubomir sagt, dass der einzige Weg, das Problem zu lösen, darin besteht, den Windows-PC im abgesicherten Modus neu zu starten und Outlook zu öffnen. Sobald Sie Outlook geöffnet haben, müssen Sie die Nachricht löschen, die die XML-Bombe enthält.

• *

Lubomir fügt hinzu, dass das Ändern der Outlook-Sicherheitseinstellung „Alle Standard-E-Mails im Nur-Text lesen“ keinen effektiven Schutz gegen diese Sicherheitsanfälligkeit bietet und Outlook weiterhin beim Öffnen der E-Mail einfriert. Lubomir sagt, dass dieser Fehler auch andere Office-Anwendungen betreffen kann, da sie denselben Office-XML-Formatparser verwenden (z. B. das Einfügen einer XML-Bombe in ein Microsoft Word-Dokument).

• *

• *

Auswirkungen
———
Der Angriff ist öffentlich dokumentiert und leicht auszunutzen. Die Gesamtauswirkung ist gering.

• *

Zeitplan
——–
2014-02-26 Kontaktaufnahme mit dem Microsoft Security Response Center
2014-02-28 Kontaktaufnahme mit CERT/CC
2014-03-20 Kontaktaufnahme mit Microsoft Deutschland
2014-04-03 Öffentliche Veröffentlichung des Hinweises

• *

Ressource: CX Security