Wir veröffentlichen neue Datenschutzrichtlinien um der europäischen DS-GVO, die ab dem 25.Mai 2018 in Kraft tritt, gerecht zu werden. Die neuen Datenschutzrichtlinien können Einfluss auf die Verwendung Ihrer Daten haben. Durch die weitere Nutzung unsere Webseiten stimmen Sie der Verwendung von Cookies, den neuen Datenschutzrichtlinien und den Geschäftsbedingungen zu.
Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge Bitte loggen sie sich ein oder registrieren sie sich.
Erweiterte Suche  

Autor Thema: Konstante Gefahr: URL-Spoofing in Outlook und IE  (Gelesen 1161 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.523
Konstante Gefahr: URL-Spoofing in Outlook und IE
« am: 13. Mai 2004, 17:17:48 »

Immer wieder fallen Microsofts Webbrowser und E-Mail-Programm durch Sicherheitslücken auf, die das Fälschen von URLs ermöglichen. Dieses URL-Spoofing ist weit gefährlicher, als man zunächst vermuten könnte.  

Auch ohne jede Sicherheitslücke lassen sich in Webpages oder HTML-E-Mails Links einbauen, die andere Seiten ansteuern, als der Link-Text vermuten ließe. Solche Tricks kann man als Anwender aber unschwer entlarven: Das einfache Positionieren des Mauszeigers über der Referenz enthüllt normalerweise die tatsächlich angesteuerte Website oder Page.

An dieser Stelle setzt das so genannte URL-Spoofing an: Auf Grund von Programmfehlern, die der Angreifer (meist via Javascript) zum Modifizieren des Statuszeilentexts ausnutzt, zeigt er auch dort den falschen URL an. Der Benutzer soll arglos dem vermeintlich sicheren Link vertrauen. Ein Klick führt ihn dann entweder auf eine vom Angreifer präparierte Website, lädt Schadcode aus dem Web nach oder führt in einer Mail als Attachment enthaltenen Code direkt aus.


Auswirkungen

Für sich betrachtet handelt es sich beim URL-Spoofing eher um eine weniger kritische Schwachstelle. Ein einfacher Besuch auf einer falschen Website hat per se noch keine fatalen Folgen. Kritisch wird das URL-Spoofing aber in Kombination mit weiteren Sicherheitslücken im Internet Explorer oder in Windows selbst. Der Besuch einer vom Angreifer präparierten Website kann dadurch zur ungewollten Installation von Dialern, Trojanern oder anderer Schad-Software führen, die sich unter Umständen drastisch bemerkbar macht.

Da auch Outlook die HTML-Engine des IE verwendet, betreffen entsprechende Sicherheitslücken fast immer auch Microsofts Mail-Programm. Damit drängen sich maßgeschneiderte HTML-E-Mails dem potenziellen Angreifer als Angriffsvektor geradezu auf. Zudem tendieren gerade Outlook-Benutzer dazu, den in der Statusleiste angezeigten Informationen besonders zu vertrauen, da HTML-Mails in der Sicherheitszone \"Eingeschränkte Sites\" laufen und deshalb kein Scripting erlaubt ist. Doch alle bis jetzt bekannten URL-Spoofing-Varianten für den IE und Outlook funktionieren im Zweifelsfall auch ohne Scripting - die Sicherheit ist also trügerisch.

Ein typisches Angriffs-Szenario: Das Opfer erhält eine seriös wirkende, jedoch gefälschte HTML-E-Mail von einer Bank oder einem Provider, in der um eine Aktualisierung der persönlichen Daten gebeten wird. Praktischerweise ist der Link zum \"Update\" gleich enthalten. Die gespoofte URL führt jedoch zu einer vom Angreifer präparierten Site, die wie eine Site des Dienstleisters aufgemacht ist. Dort hinterlässt der unvorsichtige Besucher nun seine Anmelde- und Kontendaten, mit denen ihn der Angreifer anschließend auf die echte Site des Anbieters weiterleitet, so dass der Betrug nicht sofort auffällt. Nun kann der Phisher mit den abgefangenen Daten in aller Ruhe das Konto plündern.

URL-Spoofing, die Erste

Die aktuelle URL-Spoofing-Lücke ist jedoch nicht die erste, bei der sich der Microsoft Internet Explorer und die diversen Outlook-Varianten verwundbar zeigen. Seit Dezember 2003 wurden insgesamt drei solcher Bugs bekannt.     Die  erste Lücke, über die sich gefälschte URLs in der Statuszeile anzeigen lassen, tauchte am 10. Dezember 2003 im Internet Explorer und in Outlook auf. Am einfachsten war die Schwäche auszunutzen, indem der Angreifer hinter den \"gefälschten\" URLs das URL-kodierte Zeichen \"%01\", gefolgt von einem Klammeraffen \"@\" und dem URL der tatsächlich anzusteuernden Webseite setzte.

Mit dem Befehl     > location.href=unescape(\'http://www.microsoft.de%01@http://www.tecchannel.de/sicherheit/aktuell.html\')


Beispielsweise ließ sich die entsprechende tecCHANNEL-Seite laden, in der Adressleiste des Explorer erschien jedoch der  FQDN von Microsoft Deutschland.

Fazit

Während Microsoft die mit den ersten beiden Lücken aufgerissenen Löcher bereits durch entsprechende Security-Updates wieder gestopft hat, bleibt die Gefahr durch die am 10. Mai 2004 entdeckte Spoofing-Schwäche vorerst offen. Dies ist umso unangenehmer, als mit Ausnahme von Outlook 2003 alle Outlook-Varianten davon betroffen sind.

Quelle:Tecchannel.de
Gespeichert