Vous êtes sur le site public du Cert-IST
Microsoft Outlook et usurpation d'adresse

Date :16 Juin 2005

Publication: Article

Ce mois-ci, iDefense a publié un avis de sécurité sur une vulnérabilité dans les clients de messagerie Microsoft "Oulook" et "Oulook Web Access". Microsoft corrigera cette vulnérabilité dans un prochain "Service Pack",  et bien que nous la jugions mineure nous avons pensé qu'il était intéressant de présenter l'analyse que iDefense fait de ses possibilités d'exploitation.

La vulnérabilité

Elle est due à une erreur lors du traitement des en-têtes "SMTP" par les clients de messageries "Oulook" et "Oulook Web Access". Lorsque le texte renseignant le champ "FROM" d'un en-tête "SMTP" contient une virgule (",") ces clients de messagerie n'affichent que la partie du texte située avant cette virgule.

Conséquence

Si le champ "FROM" de l'en-tête d'un message est renseigné avec une chaîne de caractères du type :

alors "Oulook" et "Oulook Web Access" affichent uniquement :

comme émetteur du message.

Exploitation possible

La plupart des serveurs de messagerie en frontal sur Internet sont configurés aujourd'hui pour filtrer les e-mails provenant de l'extérieur et comportant une adresse d'expéditeur interne ("anti-spoofing").

En exploitant cette vulnérabilité avec la technique montrée ci-dessus une personne malveillante peut contourner ce filtre, pour mener à bien une attaque de type "social engineering" : elle peut en effet envoyer des messages à des victimes en se faisant passer pour des correspondants de leur propre entreprise.

Ce type de comportement dépend néanmoins étroitement de la méthode d'analyse utilisée par le serveur de messagerie pour gérer le champ "From" de l'en-tête du message. Ce message peut en effet être considéré comme non conforme car contenant 2 adresses e-mail dans ce champ.

Le problème d'usurpation d'adresse e-mail reste encore inhérent au protocole SMTP et aux solutions de messagerie (et reste donc très utilisé par les vers/virus). Ce problème vient généralement du fait que les contrôles de validité sur les émetteurs et destinataires se déroulent plus au niveau des transactions SMTP (requêtes de type "MAIL FROM", "RCPT TO") que sur l'enveloppe accompagnant le message (champs "From" et "To"). Etant donné que les clients de messagerie se basent eux sur l'enveloppe pour afficher les informations d'identification, l'usurpation d'adresse e-mail est encore difficilement contrôlable lorsque des techniques évoluées sont utilisées.

Pour plus d'information :

Avis de sécurité de iDefense : http://www.idefense.com/application/poi/display?id=227&type=vulnerabilities