Gestion du document
Origine: bjCSIRT
Numéro: 2017/AVIS/005
Date de l’alerte: 07/12/2017
TLP: White
Aperçu de la menace
Une vulnérabilité dans plusieurs clients de messagerie permet d’usurper l’identité de l’expéditeur d’un message.
Description
Le 4 décembre 2017, le chercheur en sécurité Sabri Haddouche a dévoilé une vulnérabilité nommée mailsploit.
Cette vulnérabilité permet lors de l’envoi de courriel de falsifier le champ émetteur qui sera affiché au destinataire et ainsi d’usurper potentiellement une identité expéditeur.
En effet, il est possible de tirer parti de la représentation des caractères et de leur encodage dans le champs « From » de l’entête d’un courriel pour amener un client de messagerie à n’interpréter qu’une partie des informations fournies. La différence entre la valeur du champ « From » et ce qui est affiché peut alors permettre à un utilisateur malveillant de falsifier les informations sur l’émetteur qui seront présentées au destinataire.
D’autre part, la vulnérabilité mailsploit rend possible une injection XSS dans le champ « From » qui pourra dans certains cas être interprété par le client de messagerie.
La liste complète des clients de messagerie affecté est disponible sur ce lien.
Mesures à prendre
En attendant un mise à jour de Microsoft:
- Mettre à jour vos clients de messagerie. Une bonne partie des éditeurs de logiciels de messagerie ont déjà soit résolu, soit rendu difficile l’exploitation de la vulnérabilité.
- Faire très attention aux pièces jointes contenues dans les messages électroniques même si l’émetteur annoncé du courriel est considéré digne de confiance.
Liens utiles
https://www.mailsploit.com/index#demo