Vulnérabilité détectée dans Microsoft Outlook 2007-2013 pour Windows et Mac permettant une attaque Billion laughs

Le chercheur en sécurité Lubomir Stroetmann de softScheck a identifié une vulnérabilité de déni de service dans Microsoft Outlook 2007, 2010 et 2013 fonctionnant sur le système d’exploitation Windows et Microsoft Outlook 2011 pour MAC. Lubomir dit que bien qu’il ait informé Microsoft de la vulnérabilité, Microsoft a reconnu la vulnérabilité, mais un correctif n’a pas encore été publié.

• *

Lubomir a déclaré que bien que la faille soit de risque moyen, un attaquant potentiel peut l’utiliser pour une attaque de déni de service. Pour exploiter la faille, un attaquant distant peut envoyer un e-mail en texte brut contenant une bombe XML comme corps du message, provoquant le gel d’Outlook lors de l’ouverture de l’e-mail. Cela oblige l’utilisateur à terminer le processus Outlook. Dans la configuration par défaut d’Outlook, où le contenu des e-mails est affiché dans un volet de lecture dans la fenêtre principale, l’impact est plus sévère : Outlook se fige au démarrage et ne pourra plus démarrer, car il essaie d’ouvrir et d’afficher l’e-mail au démarrage. Une bombe XML est également connue sous le nom de Billion laughs. Une bombe XML consiste en une définition de type de document XML (DTD) valide contenant plusieurs entités imbriquées, chacune faisant référence à la précédente. Lorsque l’e-mail est ouvert, Outlook se fige en essayant d’étendre toutes les entités imbriquées en mémoire, ce qui provoque une augmentation constante de l’utilisation de la RAM par le processus Outlook. Ce type d’attaque a été signalé dès 2003 et a été couvert en profondeur en 2009 dans un rapport de Microsoft. Après avoir terminé l’expansion, Outlook revient finalement à un état stable, c’est pourquoi Lubomir a marqué cela comme une faille de risque moyen. Cependant, une fois que la bombe XML a été reçue par l’utilisateur, Outlook peut prendre des jours et, en raison de la croissance exponentielle de la tâche, cela peut prendre encore plus de temps en ajoutant d’autres imbrications.

• *

Lubomir dit que la seule façon de résoudre le problème est de redémarrer le PC Windows en mode sans échec et d’ouvrir Outlook. Une fois que vous ouvrez Outlook, vous devez supprimer le message contenant la bombe XML.

• *

Lubomir ajoute que changer le paramètre de sécurité d’Outlook « Lire tous les e-mails standard en texte brut » n’est pas une protection efficace contre cette vulnérabilité et qu’Outlook se figera toujours lors de l’ouverture de l’e-mail. Lubomir dit que cette faille peut également affecter d’autres applications Office car elles utilisent le même analyseur de format XML Office (par exemple, coller une bombe XML dans un document Microsoft Word).

• *

Impact
———
L’attaque est documentée publiquement et facile à exploiter. L’impact global est faible.

• *

Chronologie
——–
2014-02-26 Contacté le Microsoft Security Response Center
2014-02-28 Contacté CERT/CC
2014-03-20 Contacté Microsoft Allemagne
2014-04-03 Publication publique de l’avis

• *

Ressource : CX Security