Problèmes potentiels des mécanismes de filtrage d'e-mail et de trafic web
Date : 06 Juillet 2005
Depuis l'année 2001, il a été montré que les clients de messagerie, notamment Outlook et Outlook Express, pouvaient être utilisés de façon détournée afin d'exécuter du code ou des fichiers attachés sans que l'utilisateur en soit averti. Ces attaques s'appuient en particulier sur le fait que certains clients de messagerie sont relativement souples par rapport aux RFC (822 et maintenant 2822) décrivant les formats de messages.
Le premier problème de cette "souplesse" est que certains messages non standards provoquent des comportements erratiques de ces outils de messagerie, qui ont pu être utilisés à des fins d'attaque (vers, …).
Ainsi des champs relatifs à l'entête MIME (Multipurpose Internet Mail Extensions - RFC 2045 et 2046) du message (champs "Content-Type" ou "Content-Disposition" entre autres) peuvent être forgés (ou contenir des caractères particuliers non prévus par la RFC) de façon que leur interprétation au niveau des clients de messagerie déclenche par exemple l'exécution d'un fichier attaché à l'e-mail de manière automatique.
A titre d'exemple, l'un des moyens de propagation du ver Nimda (CERT-IST/AV-2001.248) s'appuie sur un défaut dans l'interprétation des données relatives au format MIME de clients Microsoft qui permet l'exécution du ver dès l'ouverture de l'e-mail.
Microsoft a émis plusieurs avis de sécurité pour tenter de corriger ces brèches sur ses clients de messagerie, avis qui ont donné lieu aux publications suivantes par le Cert-IST :
- CERT-IST/AV-2001.092 : Vulnérabilité dans la gestion des e-mails au format HTML dans Outlook et Outlook Express (via Internet Explorer)
- CERT-IST/AV-2001.334 : Vulnérabilités dans Microsoft Internet Explorer 5.5 et 6
- CERT-IST/AV-2002.052 : Vulnérabilités dans Microsoft Internet Explorer 5.5 et 6
L'activité sur cette problématique été la source d'un "travail" considérable dans les milieux "underground" (auteurs de virus, ...)où des études sur les différentes manières de tromper la vigilance des clients de messagerie par des entêtes e-mail "exotiques" ont été menées de façon "exhaustive".
Cette activité a été approfondie afin d'être appliquer au domaine du filtrage d'e-mails et de trafic web pour tenter contourner ces protections.
Ainsi, un autre aspect critique avec les problèmes de ce type est que certains équipements de filtrage d'e-mails (scanners de messagerie, anti-virus gérant le protocole "POP"…) peuvent être sensibles à ces techniques et ignorer totalement ces "extensions" non standards aux RFC.
Ainsi, l'utilisation dans les champs MIME :
- des caractères d'échappement ou d'espacement de manière très spécifique,
- des "codes" (notations) particuliers,
- des imbrications de syntaxes de type MIME,
- ...
pourraient permettre de contourner les règles de filtrage des équipements de messagerie, voire même des équipement d'accès au web (proxies, ….). Cette situation peut entraîner l'entrée de mails ou trafic web infecté par des codes mobiles malveillants (vers, ...) au sein du système d'information de l'entreprise.
Deux avis Cert-IST ont déjà traité des problèmes similaires sur les équipements de filtrage MAILsweeper de Baltimore (CERT-IST/AV-2001.072) et le module HTTP (proxy HTTP) d'InterScan VirusWall de Trend Micro (CERT-IST/AV-2002.082).
Depuis, certains produits tel MAILsweeper (voire TrendMicro) ont restreint leur flexibilité par rapport aux messages non conformes aux RFC et semblent mettre en quarantaine les messages non conformes.
Le Cert-IST vous recommande néanmoins de vous adresser au support de vos solutions de filtrage pour vérifier quelles sont les protections prises vis à vis de ces menaces (Cf., entre autres, la réponse de Symantec ci-dessous).
Pour plus d'information :
- Article général de Securiteam : http://www.securiteam.com/securitynews/5DP0I206AY.html
- Articles relatif aux produits Symantec :
- Réponse de Symantec : http://securityresponse.symantec.com/avcenter/security/Content/2002.03.07.html