Problèmes de sécurité induits par Windows Media Player
Date : 30 Juin 2005
La possibilité d'exécuter automatiquement du code joint à un email, dès la visualisation de ce dernier, constitue un problème majeur de sécurité. Dans ce domaine, la convivialité pour l'utilisateur (par exemple, voir une image directement dans un email) se bat avec la sécurité (possibilité qu'un virus infecte un poste à la simple lecture d'un email). Et comme souvent, de nouvelles techniques d'attaque apparaissent au fur et à mesure de l'apparition des correctifs de sécurité.
Les toutes dernières "recherches" dans ce domaine d'attaque s'orientent actuellement beaucoup sur l'outil Windows Media Player (WMP) de Microsoft. Il s'agit d'une application pour traiter les fichiers multimédia (fichiers contenant des films ou des sons), qui peut être appelée directement par Outlook depuis un email HTML. Il existe une grande variété de types de fichiers qui peuvent être pris en charge par WMP (par exemple : .ASX, .WMS, .WMZ, .WMD, .WMA, etc…).
Par défaut Outlook considère les fichiers WMP comme sûrs : il exécutera donc automatiquement (sans avertissement à l'utilisateur) un fichier WMP attaché à un email HTML, au moment de la visualisation de cet email sur le poste utilisateur (si l'email HTML fait référence au fichier WMP, par exemple au moyen d'un tag "IFRAME"). Malheureusement, certains fichiers WMP peuvent eux-même contenir du code JavaScript, qui sera donc automatiquement exécuté, même si Outlook est configuré pour ne pas exécuter le code JavaScript (c'est en fait WMP qui exécute ce code et non Outlook).
Plusieurs possibilités d'attaque ont ainsi été décrites, en utilisant les fonctionnalités de WMP. Par exemple :
- Un email HTML active WMP pour traiter un fichier attaché ".WMV".
- Ce fichier attaché lance à son tour, par JavaScript, Internet Explorer (qui s'exécute alors dans la zone de sécurité "Ordinateur local"), pour charger un second fichier attaché ".HTM",
- Ce dernier fichier lance un troisième attachement .EXE qui contient le code du virus.
On le voit l'attaque est complexe : Trois fichiers attachés à l'email vont être exécutés en cascade, et les règles de sécurité applicables à l'email initial se perdent au fur et à mesure de l'enchainement des outils traitant ces attachements.
Il n'existe actuellement pas de correctif pour ce problème de sécurité. Les contacts que nous avons eu à ce sujet avec Microsoft nous ont appris qu'un travail était en cours au niveau WMP pour le résoudre. En attendant, il est nécessaire de déclarer tous les types de fichiers gérés par WMP comme "non sûrs pour l'exécution" pour éviter les attaques de ce type.
Pour plus d'information :
- How Outlook 2002 can still execute JavaScript http://www.securityfocus.com/archive/1/263429
- Automatically Opening IE and Execution of Attachments http://neworder.box.sk/showme.php3?id=6346
- HELP.dropper: IE6, OE6, Outlook...lookOut http://archives.neohapsis.com/archives/ntbugtraq/2002-q1/0202.html