Als kleine Ergänzung zum letzten Beitrag hier nun ein konkretes Beispiel zum Fälschen von URLs und den damit resultierenden Gefahren für Microsoft Outlook Anwender.
Im Anhang befindet sich eine Microsoft Outlook Mail, die via Doppelklick in einem lokal installierten Outlook geöffnet werden kann.
Es erscheint folgendes Fenster:
Ein Klick auf den dargestellten Link öffnet nicht wie erwartet die Microsoftwebsite sondern führt den Anwender auf eine beliebige Adresse im Internet (in diesem Beispiel zur Website www.malware.com mit weiteren Infos zum Thema Sicherheit und Microsoft)
Hier der betroffene Ausschnitt aus der Maildatei:
<BODY bgColor=3D#ffffff>
<DIV> </DIV><A href=3D"http://www.microsoft.com"><IMG=20
src=3D"cid:malware" useMap=3D#malware=20
border=3D0></A> <MAP name=3Dmalware><AREA shape=3DRECT =
coords=3D0,0,224,21=20
href=3D"http://www.malware.com"></MAP></BODY></HTML>
Der Sicherheitsspezialist mit dem Pseudonym http-equiv hat einen weiteren Trick veröffentlicht, um Anwendern in den Statusleisten des Internet Explorer und unter Outlook falsche URLs anzuzeigen. Anwender könnten -- im Glauben eine vertrauenswürdige Seite zu besuchen -- einem Link folgen, der auf eine Webseite führt, die beispielsweise weitere Sicherheitslücken im Internet Explorer ausnutzt. Dort reicht dann der Besuch der Seite aus, um einen Trojaner installiert zu bekommen. Auch Phishing-Mails bedienen sich solcher Spoofing-Tricks, um vertrauenswürdig
zu erscheinen und Anwendern Kreditkartennummern sowie Passwörter abzuluchsen. Der Autor mit dem Pseudonym http-equviv hatte bereits Anfang April einen URL-Spoofing-Trick veröffentlicht.
 Der neue Trick basiert auf der besonderen Art und Weise, ein Bild in einen Link einzubauen. Das HTML-Tag MAP dient zum Erzeugen von Bildern, bei denen je nach Position des Mauszeigers auf dem Bild der Klick zu unterschiedlichen Links führen kann. Ist solch ein Tag in einen weiteren Link (A HREF) eingebettet, so zeigen der Internet Explorer, Outlook und Outlook Express in der Statusleiste fälschlicherweise die URLs des äußeren Links an. Der Klick auf das Bild führt dann aber zu einer anderen Seite. http-equiv hat in seinem Advisory auf einen Proof-of-Concept-Exploit verlinkt, der die Schwachstelle für Outlook und Outlook Express demonstriert. Allerdings muss dazu die HTML-Ansicht aktiviert sein. Ein Patch steht nicht zur Verfügung. Outlook 2003 soll nicht von diesem Problem betroffen sein. Anwender sollten keinen
Links in Mails oder auf nicht vertrauenswürdigen Seiten folgen. Zusätzlich sollte die HTML-Ansicht deaktiviert werden.
....
mfg
Ihr FCI Team
Weitere Infos zum Thema Sicherheit und den FirstClass Inspector FCI finden Sie hier
RSWE übernimmt keine Haftung oder Garantie für die Aktualität, Richtigkeit und Vollständigkeit der auf dieser Internet-Site zur Verfügung gestellten Informationen und Software. Das gilt auch für den Inhalt anderer Internetseiten, auf die mittels Hyperlink verwiesen wird. RSWE ist für den Inhalt der Internetseiten, aufgrund einer solchen Verbindung erreicht werden, nicht verantwortlich und distanziert sich von allen rechtlich nicht zulässigen Darstellungen auf diesen Seiten.
Die Vervielfältigung von Informationen, Daten, Texten, Bildern und Grafiken oder Teilen hiervon, deren Verwendung für Handelszwecke oder Verwendung auf anderen Web-Sites bedarf der vorherigen Zustimmung durch RSWE.
FCI ist eine eingetragene Marke von RSWE.
|