CERTFR-2017-ALE-019
Vulnerability from certfr_alerte - Published: - Updated:
Le 4 décembre 2017, le chercheur en sécurité Sabri Haddouche a rendu publique une vulnérabilité nommée mailsploit.
Cette vulnérabilité permet lors de l'envoi de courriel de falsifier le champ émetteur qui sera affiché au destinataire et ainsi d'usurper potentiellement une identité expéditeur.
En effet, il est possible de tirer parti de la représentation des caractères et de leur encodage dans le champs "From" de l'entête d'un courriel pour amener un client de messagerie à n'interpréter qu'une partie des informations fournies. La différence entre la valeur du champ "From" et ce qui est affiché peut alors permettre à un utilisateur malveillant de falsifier les informations sur l'émetteur qui seront présentées au destinataire.
D'autre part, la vulnérabilité mailsploit rend possible l'injection de code dans le champ "From" qui pourra dans certains cas être interprété par le client de messagerie.
Solution
Pour les systèmes pour lesquels un correctif est disponible, le CERT-FR recommande de s'assurer que la version utilisée profite bien des dernières mises à jour.
Contournement provisoire
Le CERT-FR met en garde contre les risques de hameçonnages liés à l'utilisation de cette vulnérabilité. De manière générale, le CERT-FR recommande la plus grande précaution quant aux liens ou pièces jointes accompagnant un courriel non sollicité ou dont la provenance peut sembler suspicieuse. Dans le cas présent, il faut faire preuve d'une vigilance accrue même si l'émetteur annoncé du courriel est considéré digne de confiance.
Une liste des systèmes affectés telle que fournie par le chercheur ayant identifié la vulnérabilité est disponible dans la section documentation.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eUne liste des syst\u00e8mes affect\u00e9s telle que fournie par le chercheur ayant identifi\u00e9 la vuln\u00e9rabilit\u00e9 est disponible dans la section documentation.\u003c/p\u003e ",
"closed_at": "2018-03-07",
"content": "## Solution\n\nPour les syst\u00e8mes pour lesquels un correctif est disponible, le CERT-FR\nrecommande de s\u0027assurer que la version utilis\u00e9e profite bien des\nderni\u00e8res mises \u00e0 jour.\n\n## Contournement provisoire\n\nLe CERT-FR met en garde contre les risques de hame\u00e7onnages li\u00e9s \u00e0\nl\u0027utilisation de cette vuln\u00e9rabilit\u00e9. De mani\u00e8re g\u00e9n\u00e9rale, le CERT-FR\nrecommande la plus grande pr\u00e9caution quant aux liens ou pi\u00e8ces jointes\naccompagnant un courriel non sollicit\u00e9 ou dont la provenance peut\nsembler suspicieuse. Dans le cas pr\u00e9sent, il faut faire preuve d\u0027une\nvigilance accrue m\u00eame si l\u0027\u00e9metteur annonc\u00e9 du courriel est consid\u00e9r\u00e9\ndigne de confiance.\n",
"cves": [],
"links": [
{
"title": "Liste des syst\u00e8mes affect\u00e9s par la vuln\u00e9rabilit\u00e9 mailsploit",
"url": "https://docs.google.com/spreadsheets/d/1jkb_ZybbAoUA43K902lL-sB7c1HMQ78-fhQ8nowJCQk/htmlview?sle=true"
}
],
"reference": "CERTFR-2017-ALE-019",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2017-12-05T00:00:00.000000"
},
{
"description": "Cl\u00f4ture de l\u0027alerte",
"revision_date": "2018-03-07T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
}
],
"summary": "Le 4 d\u00e9cembre 2017, le chercheur en s\u00e9curit\u00e9 Sabri Haddouche a rendu\npublique une vuln\u00e9rabilit\u00e9 nomm\u00e9e\u00a0*mailsploit*.\n\nCette vuln\u00e9rabilit\u00e9 permet lors de l\u0027envoi de courriel de falsifier le\nchamp \u00e9metteur qui sera affich\u00e9 au destinataire et ainsi d\u0027usurper\npotentiellement une identit\u00e9 exp\u00e9diteur.\n\nEn effet, il est possible de tirer parti de la repr\u00e9sentation des\ncaract\u00e8res et de leur encodage dans le champs \"From\" de l\u0027ent\u00eate d\u0027un\ncourriel pour amener un client de messagerie \u00e0 n\u0027interpr\u00e9ter qu\u0027une\npartie des informations fournies. La diff\u00e9rence entre la valeur du champ\n\"From\" et ce qui est affich\u00e9 peut alors permettre \u00e0 un utilisateur\nmalveillant de falsifier les informations sur l\u0027\u00e9metteur qui seront\npr\u00e9sent\u00e9es au destinataire.\n\nD\u0027autre part, la vuln\u00e9rabilit\u00e9 *mailsploit* rend possible l\u0027injection de\ncode dans le champ \"From\" qui pourra dans certains cas \u00eatre interpr\u00e9t\u00e9\npar le client de messagerie.\n",
"title": "Vuln\u00e9rabilit\u00e9 d\u0027usurpation d\u0027identit\u00e9 dans plusieurs clients de messagerie",
"vendor_advisories": [
{
"published_at": null,
"title": "Site Mailsploit d\u00e9crivant le principe de la vuln\u00e9rabilit\u00e9",
"url": "https://www.mailsploit.com/index"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.