Le chercheur en sécurité Sabri Haddouche vient de découvrir une faille dans la visualisation des emails dont l’objectif est l’usurpation de l’adresse email de l’expéditeur ou l’exécution de code malveillant. Il a averti les principaux éditeurs de clients de messagerie, les premiers concernés, et après trois mois, l’a finalement publiée, il l’a nommée Mailsploit.
La technique repose sur le fait d’utiliser un ancien standard mis en place sur le mail qui permet d’encoder des caractères non ASCII dans l’en tête d’un mail. Pour contourner cette limite, une solution technique d’encodage a été développée et documentée dans la RFC1342. Elle est surtout utilisée pour encoder le sujet des emails. Cependant, il est possible de tirer parti de la représentation des caractères et de leur encodage dans le champs “From” de l’entête d’un email pour amener un client de messagerie à n’interpréter qu’une partie des informations fournies. La différence entre la valeur du champ “From” et ce qui est affiché peut alors permettre à un utilisateur malveillant de falsifier les informations sur l’émetteur qui seront présentées au destinataire. La plupart des clients mails ne vérifient pas les chaînes de caractères après les avoir décodées, ce qui ouvre la voie à une attaque de spoofing. Par cette technique il est également possible l’injection de code dans le champ “From” qui pourra dans certains cas être interprété par le client de messagerie. Les détails des explications techniques de la faille Mailsploit sont présenté de cet article.
Douze clients de messagerie ont été jugés vulnérables à des attaques par injection de code. Elle permet l’usurpation d’adresses email et l’injection de HTML et de JavaScript arbitraires dans son client web, laissant les utilisateurs à la merci d’attaques XSS (Cross-site scripting). Le problème le plus fréquent découvert a été la capacité de cette attaque à contourner DMARC, une protection anti-usurpation. Si l’en-tête “From:” contient une adresse que l’expéditeur n’est pas autorisé à utiliser, les protections telles que le DMARC sont censées stopper l’acheminement.
Pour l’heure, Opéra et Mozilla ont de expliqué qu’ils ne souhaitaient pas corriger cette faille Mailsploit. Une liste complète, mais non exhaustive des différents services mails affectés est également disponible sur le site de Sabri Haddouche.