Difetto rilevato in Microsoft Outlook 2007-2013 per Windows e Mac che consente un attacco Billion laughs

Il ricercatore di sicurezza Lubomir Stroetmann di softScheck ha identificato una vulnerabilità di Denial of Service in Microsoft Outlook 2007, 2010 e 2013 in esecuzione sul sistema operativo Windows e Microsoft Outlook 2011 per MAC. Lubomir afferma che, sebbene abbia avvisato Microsoft della vulnerabilità, Microsoft ha riconosciuto la vulnerabilità, ma una patch non è ancora stata rilasciata.

Lubomir ha detto che, sebbene il difetto fosse di rischio medio, un potenziale attaccante può usarlo per un attacco di Denial of Service. Per eseguire il difetto, un attaccante remoto può inviare un’email in testo semplice contenente una bomba XML come corpo del messaggio, causando il blocco di Outlook durante l’apertura dell’email. Questo costringe l’utente a terminare il processo di Outlook. Nella configurazione predefinita di Outlook, in cui i contenuti delle email vengono visualizzati in un riquadro di lettura nella finestra principale, l’impatto è più grave: Outlook si bloccherà all’avvio e non sarà più in grado di avviarsi, poiché cerca di aprire e visualizzare l’email durante l’avvio. Una bomba XML è nota anche come Billion laughs. La Billion laughs è una bomba XML composta da una definizione di tipo documento XML (DTD) valida contenente diverse entità annidate, ciascuna che fa riferimento alla precedente. Quando l’email viene aperta, Outlook si blocca mentre cerca di espandere tutte le entità annidate in memoria, il che causa un aumento costante dell’uso della RAM da parte del processo di Outlook. Questo tipo di attacco è stato segnalato già nel 2003 ed è stato trattato in dettaglio in un rapporto Microsoft nel 2009. Dopo aver terminato l’espansione, Outlook torna eventualmente a uno stato stabile, motivo per cui Lubomir ha contrassegnato questo come un difetto di rischio medio. Tuttavia, una volta ricevuta la bomba XML, Outlook può impiegare giorni e, a causa della crescita esponenziale del compito, può espandersi ulteriormente per richiedere ancora più tempo aggiungendo ulteriori annidamenti.

Lubomir afferma che l’unico modo per risolvere il problema è riavviare il PC Windows in modalità provvisoria e aprire Outlook. Una volta aperto Outlook, è necessario eliminare il messaggio che contiene la bomba XML.

Lubomir aggiunge che cambiare l’impostazione di sicurezza di Outlook “Leggi tutte le email standard in testo semplice” non è una protezione efficace contro questa vulnerabilità e Outlook si bloccherà ancora all’apertura dell’email. Lubomir afferma che questo difetto può anche influenzare altre applicazioni Office poiché utilizzano lo stesso parser di formato XML di Office (ad esempio, incollare una bomba XML in un documento Microsoft Word).

Impatto
———
L’attacco è documentato pubblicamente ed è facile da sfruttare. L’impatto complessivo è basso.

Timeline
——–
2014-02-26 Contattato Microsoft Security Response Center
2014-02-28 Contattato CERT/CC
2014-03-20 Contattato Microsoft Germania
2014-04-03 Rilascio pubblico dell’avviso

Risorsa: CX Security