Ce focus aborde le sujet de la CVE 2017-11776, une vulnérabilité ciblant Microsoft Outlook, de ses impacts, et des actions à réaliser post-correction.
Une vulnérabilité relative au chiffrement S/MIME dans Outlook
Une faille de sécurité dans Outlook relative au chiffrement S/MIME des e-mails a été identifiée (CVE-2017-11776). Elle concerne les mails chiffrés envoyés par Outlook au format « texte brut » :
Depuis environ 6 mois, les mails chiffrés envoyés rédigés au format « texte brut» sont envoyés à la fois chiffrés et en clair par Outlook dans le corps du mail envoyé. Les mails au format « HTML » ont, eux, été correctement chiffrés intégralement.
Étendue de la vulnérabilité
La vulnérabilité ne s’applique que lorsqu’Outlook a envoyé un mail chiffré avec S/MIME au format brut. Si un autre client mail (Thunderbird, Webmail, etc.) a envoyé un mail chiffré, celui-ci sera correctement chiffré.
La transmission du message en clair est variable :
- Dans le cas d’Outlook avec Exchange :
- Lorsque le destinataire n’est pas dans le même domaine de mails, le message en clair est envoyé au premier relai (MTA) puis supprimé par la suite
- Lorsque le destinataire est dans le même domaine de mails, le message en clair est envoyé au premier relai (MTA) puis acheminé jusqu’à la boîte de réception du correspondant
- Dans le cas d’Outlook avec SMTP, le message en clair est envoyé tout le long de la chaîne de transmission du mail jusqu’à la boîte de réception du correspondant
Un script PowerShell a été développé par Wavestone afin de permettre la recherche parmi une boîte aux lettres Outlook de mails chiffrés avec S/MIME au format « texte brut ». Il est disponible à cette adresse et est à exécuter lorsqu'Outlook est ouvert.
Correctifs
Cette vulnérabilité est corrigée dans les mises à jour Outlook suivantes :
- Deferred Channel: Version 1705 (Build 8201.2200) – publiée le 10 octobre 2017
- Monthly Channel: Version 1708 (Build 8431.2107) – publiée le 10 octobre 2017
Source
Cyprien OGER