Falla detectada en Microsoft Outlook 2007-2013 para Windows y Mac que permite un ataque de Billion laughs

El investigador de seguridad Lubomir Stroetmann de softScheck ha identificado una vulnerabilidad de Denegación de Servicio en Microsoft Outlook 2007, 2010 y 2013 que se ejecuta en el sistema operativo Windows y Microsoft Outlook 2011 para MAC. Lubomir dice que aunque ha informado a Microsoft sobre la vulnerabilidad, Microsoft ha reconocido la vulnerabilidad, pero aún no se ha lanzado un parche.

Lubomir dijo que aunque la falla era de riesgo medio, un atacante potencial puede usarla para un ataque de Denegación de Servicio. Para ejecutar la falla, un atacante remoto puede enviar un correo electrónico de texto plano que contenga una bomba XML como cuerpo del mensaje, causando que Outlook se congele al abrir el correo electrónico. Esto obliga al usuario a terminar el proceso de Outlook. En la configuración predeterminada de Outlook, en la que los contenidos del correo electrónico se muestran en un panel de lectura en la ventana principal, el impacto es más severo: Outlook se congelará al iniciar y no podrá iniciarse más, ya que intenta abrir y mostrar el correo electrónico durante el inicio. Una bomba XML también se conoce como Billion laughs. La Billion laughs es una bomba XML que consiste en una definición de tipo de documento XML (DTD) válida que contiene varias entidades anidadas, cada una haciendo referencia a la anterior. Cuando se abre el correo electrónico, Outlook se congela mientras intenta expandir todas las entidades anidadas en memoria, lo que causa que el proceso de Outlook aumente constantemente en uso de RAM. Este tipo de ataque se ha informado desde 2003 y se cubrió en profundidad en 2009 en un informe de Microsoft. Después de terminar la expansión, Outlook eventualmente regresa a un estado estable, por eso Lubomir ha marcado esto como una falla de riesgo medio. Sin embargo, una vez que la bomba XML ha sido recibida por el usuario, Outlook puede tardar días y debido al crecimiento exponencial de la tarea, puede expandirse para tardar aún más al agregar más anidamientos.

Lubomir dice que la única forma de resolver el problema es reiniciar la PC con Windows en modo seguro y abrir Outlook. Una vez que abras Outlook, debes eliminar el mensaje que contiene la bomba XML.

Lubomir agrega que cambiar la configuración de seguridad de Outlook “Leer todo el correo estándar en texto plano” no es una protección efectiva contra esta vulnerabilidad y Outlook seguirá congelándose al abrir el correo electrónico. Lubomir dice que esta falla también puede afectar a otras aplicaciones de Office ya que utilizan el mismo analizador de formato XML de Office (por ejemplo, pegar una bomba XML en un documento de Microsoft Word).

Impacto
———
El ataque está documentado públicamente y es fácil de explotar. El impacto general es bajo.

Cronología
——–
2014-02-26 Contactado el Centro de Respuesta de Seguridad de Microsoft
2014-02-28 Contactado CERT/CC
2014-03-20 Contactado Microsoft Alemania
2014-04-03 Publicación pública del aviso

Recurso: CX Security