Microsoft Outlook sur Android vulnérable aux attaques XSS

Les utilisateurs de l’application Microsoft Outlook sur Android doivent mettre à jour leur application pour éviter d’être vulnérable.

Le bug (CVE-2019-1460) permet au pirate de lancer des attaques cross-site scripting (XSS) sur les systèmes affectés et exécuter des scripts avec les permissions de l’utilisateur courant, selon le rapport de bug de Microsoft.

Les attaques XSS se produisent quand les partis malveillants peuvent injecter des scripts côté-client dans les pages web, ce qui pousse le navigateur à penser que le script vient d’une source fiable.

Le problème existe dans la méthode utilisée par Microsoft Outlook sur Android pour analyser les emails. Un pirate peut exploiter la vulnérabilité en envoyant un email spécial. La compagnie de sécurité informatique tchèque, Cybersecurity Help, a révélé dans un article que le problème est lié à “une neutralisation incorrecte des entrées lors de la génération de pages web” causé par un assainissement insuffisant des données fournies par l’utilisateur.

Le pirate doit être authentifié sur le même réseau que la victime ciblée pour pouvoir réaliser cette attaque, a déclaré Microsoft.

Un compte-rendu de Symantec affirme qu’un pirate peut exploiter la faille pour lancer des attaques de spoofing. Cybersecurity Help a ajouté qu’un pirate pourrait potentiellement dérober des informations sensibles, changer l’apparence d’une page web et exécuter des attaques d’hameçonnage et drive-by-download.

Microsoft Outlook (officiellement Microsoft Office Outlook) est un gestionnaire d’informations personnelles et un client de courrier électronique propriétaire édité par Microsoft. Il fait partie de la suite bureautique Microsoft Office.

Bien qu’il soit principalement utilisé en tant qu’application de courrier électronique, il propose aussi un calendrier et un gestionnaire de tâche et de contact.

Il peut être utilisé de manière autonome, mais il a aussi la possibilité de fonctionner conjointement à Microsoft Exchange Server pour fournir des fonctions étendues pour une utilisation multi-utilisateurs dans une organisation, telles que le partage des boîtes de courriels, des calendriers et des emplois du temps des réunions.

L’objectif de Microsoft était de rendre les clients de courrier électronique faciles à utiliser mais les fonctionnalités automatiques incorporées et le manque de garde-fou (qui peuvent gêner un néophyte), sont exploités par de nombreux créateurs de virus par courriel. Le schéma de fonctionnement classique de ces virus est de profiter de l’exécution automatique d’un fichier joint pour exécuter leur code et puis se répliquer via le carnet d’adresses. Les vers Melissa et Sobig en font partie. Microsoft a pris des mesures correctives pour améliorer la réputation qu’avait Outlook jusqu’en 2003 d’être peu sûr. En septembre 2005, le Service Pack 2 a amélioré l’anti-spam et proposé des solutions contre l’hameçonnage.

Comment se protéger de cette faille de Microsoft Outlook?

Les utilisateurs doivent s’assurer qu’ils ont la dernière version de l’application et la mettre à jour manuellement si ils n’ont pas reçu la mise à jour automatique.

En plus d’installer cette mise à jour, Symantec a aussi noté qu’une solution de mitigation serait d’exécuter l’application en tant qu’utilisateur non-privilégié avec des droits d’accès minimum.

Le chercheur Rafael Pablos a été crédité pour la découverte de cette faille qui a été jugé par Microsoft comme étant importante.”

microsoft outlook

Ce n’est pas la première fois cette année que Microsoft Outlook est en première page. En Mai, nous vous informions que le portail de support de l’application avait été compromis et qu’il y’a avait eu une brèche de donnée.

Google fait de son mieux pour sécuriser les appareils Android avec notamment la création de Play Protect, un outil anti-malware directement intégré au Play Store, et qui a notamment permis de réduire de près de 20% la contamination de smartphones par des logiciels malveillants. Cette nouvelle fonction est activée par défaut sur tous les nouveaux smartphones utilisant le système d’exploitation Android.

Cependant, si Play Protect permet d’empêcher aux virus et autres malware de se propager en utilisant le Google Play Sore, il ne peut rien faire contre les vulnérabilités se trouvant dans les applications elles-même.