ALERTE - Usurpation d’identité clients messagerie (05.12.17)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE - Usurpation d’identité clients messagerie (05.12.17)

Messagede pierre » 06 12 2017

ALERTE / Vulnérabilité d’usurpation d’identité dans plusieurs clients de messagerie

Version initiale de l'alerte
05 décembre 2017

Risque(s)
Contournement de la politique de sécurité
Injection de code indirecte à distance (XSS)

Clients de messagerie affectés
Apple Mail.app MACOS IOS
Mozilla Thunderbird ≤ 52.5.0 / SeaMonkey ≤ 2.4.8 MACOS WINDOWS
Mail for Windows 10 WINDOWS
Microsoft Outlook 2016 MACOS WINDOWS
Yahoo! Mail IOS
Yahoo! Mail ANDROID
[A bug bounty program that does not allow disclosure yet] ANDROID
[A bug bounty program that does not allow disclosure yet] IOS
Spark ≤ 1.4.1.392 MACOS
Spark IOS
ProtonMail ANDROID IOS
Polymail MACOS
Airmail ≤ 3.3.3 MACOS
BlueMail ≤ 1.9.2.62 ANDROID
TypeApp ANDROID IOS
AquaMail ANDROID
Opera Mail MACOS WINDOWS
Postbox ≤ 5.0.18 MACOS WINDOWS
Newton ANDROID MACOS WINDOWS
Guerrilla Mail ANDROID
Email Exchange + by MailWise ANDROID
AOL Mail ANDROID
TouchMail WINDOWS

Webmail clients affectés
Hushmail WEB
Openmailbox.org WEB
[A bug bounty program that does not allow disclosure yet] WEB
Open Xchange (Mailbox.org, Namecheap Private Email...) WEB
ProtonMail WEB
Yahoo! Mail (new interface in beta) WEB
Mailfence WEB

Support ticket systems
Supportsystem WEB
osTicket WEB
Intercom WEB

Candidates found by the community
Vivaldi WEB
K-9 Mail ANDROID
[A bug bounty program that does not allow disclosure yet] WEB
IBM Notes (at least 9.0.1.5 and before) WEB
RainLoop WEB
Roundcube WEB
KMail LINUX

Voir le tableau de synthèse donnant, par courrielleur ou web-mail, les failles dont chacun d'eux est affecté :
  1. Faille mailsploit
  2. Faille spoofing
  3. Faille XSS
https://docs.google.com/spreadsheets/d/ ... w?sle=true

Résumé
Le 4 décembre 2017, le chercheur en sécurité Sabri Haddouche a rendu publique une vulnérabilité nommée mailsploit.

Cette vulnérabilité permet, lors de l'envoi de courriel, de falsifier le champ émetteur qui sera affiché au destinataire et ainsi d'usurper potentiellement une identité expéditeur.
J'ai reçu un e-mail avec expéditeur falsifié (spooffé) le 10.11.2017 - l'expéditeur apparaissait être moi-même

En effet, il est possible de tirer parti de la représentation des caractères et de leur encodage dans le champs "From" de l'entête d'un courriel pour amener un client de messagerie à n'interpréter qu'une partie des informations fournies. La différence entre la valeur du champ "From" et ce qui est affiché peut alors permettre à un utilisateur malveillant de falsifier les informations sur l'émetteur qui seront présentées au destinataire.

D'autre part, la vulnérabilité mailsploit rend possible l'injection de code dans le champ "From" qui pourra dans certains cas être interprété par le client de messagerie.

Contournement provisoire
Le CERT-FR met en garde contre les risques de hameçonnages liés à l'utilisation de cette vulnérabilité. De manière générale, le CERT-FR recommande la plus grande précaution quant aux liens ou pièces jointes accompagnant un courriel non sollicité ou dont la provenance peut sembler suspicieuse. Dans le cas présent, il faut faire preuve d'une vigilance accrue même si l'émetteur annoncé du courriel est considéré digne de confiance.

Solution
Assurez-vous, dès que votre client de messagerie ou votre webmail affecté est corrigé, d'utiliser le dernière mises à jour.

Documentation
Site Mailsploit décrivant le principe de la vulnérabilité
https://www.mailsploit.com/index

Liste des systèmes affectés par la vulnérabilité mailsploit
https://docs.google.com/spreadsheets/d/ ... w?sle=true
Avatar de l’utilisateur
pierre
 
Messages: 22612
Inscription: 20 05 2002
Localisation: Ici et maintenant

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités

cron