Обнаружена уязвимость в Microsoft Outlook 2007-2013 для Windows и Mac, позволяющая провести атаку Billion laughs

Исследователь безопасности Любомир Штроетманн из softScheck выявил уязвимость Denial of Service в Microsoft Outlook 2007, 2010 и 2013, работающем на операционной системе Windows, и Microsoft Outlook 2011 для MAC. Любомир сообщает, что хотя он и уведомил Microsoft об уязвимости, Microsoft признала уязвимость, но патч еще не был выпущен.

• *

Любомир сказал, что хотя уязвимость имеет средний уровень риска, потенциальный злоумышленник может использовать ее для атаки Denial of Service. Чтобы воспользоваться уязвимостью, удаленный злоумышленник может отправить электронное письмо в обычном текстовом формате, содержащее XML-бомбу в теле сообщения, что приводит к зависанию Outlook при открытии письма. Это заставляет пользователя завершить процесс Outlook. В стандартной конфигурации Outlook, в которой содержимое электронной почты отображается в области чтения в главном окне, последствия более серьезные: Outlook зависает при запуске и больше не может запуститься, так как пытается открыть и отобразить электронное письмо во время запуска. XML-бомба также известна как Billion laughs. XML-бомба состоит из действительного определения типа документа XML (DTD), содержащего несколько вложенных сущностей, каждая из которых ссылается на предыдущую. Когда электронное письмо открывается, Outlook зависает, пытаясь развернуть все вложенные сущности в памяти, что приводит к постоянному увеличению использования RAM процессом Outlook. Этот тип атаки был зафиксирован еще в 2003 году и был подробно рассмотрен в отчете Microsoft в 2009 году. После завершения развертывания Outlook в конечном итоге возвращается в стабильное состояние, поэтому Любомир отметил это как уязвимость среднего уровня риска. Однако, как только XML-бомба была получена пользователем, Outlook может занять дни, и из-за экспоненциального роста задачи она может быть расширена до еще более длительного времени, добавляя дальнейшие вложения.

• *

Любомир говорит, что единственный способ решить проблему — перезагрузить ПК с Windows в безопасном режиме и открыть Outlook. Как только вы откроете Outlook, вам нужно удалить сообщение, содержащее XML-бомбу.

• *

Любомир добавляет, что изменение настройки безопасности Outlook «Читать всю стандартную почту в обычном тексте» не является эффективной защитой от этой уязвимости, и Outlook все равно будет зависать при открытии электронной почты. Любомир говорит, что эта уязвимость также может повлиять на другие приложения Office, так как они используют тот же парсер формата Office XML (например, вставка XML-бомбы в документ Microsoft Word).

• *

• *

Влияние
———
Атака задокументирована публично и легко эксплуатируется. Общий уровень воздействия низкий.

• *

Хронология
——–
2014-02-26 Связались с Центром реагирования на безопасность Microsoft
2014-02-28 Связались с CERT/CC
2014-03-20 Связались с Microsoft Germany
2014-04-03 Публичный выпуск уведомления

• *

Ресурс: CX Security