Gefahr: Internet Explorer zeigt gefälschte URLs

Eine gravierende Sicherheitslücke im Microsoft Internet Explorer 6 ermöglicht es Angreifern, den in der Adressleiste angezeigten URL zu fälschen. Fällt der Anwender auf den Trick herein, kann ihm der Angreifer sensitive Informationen entlocken oder sogar Dateien auf den Rechner laden und ausführen.

Betroffen ist zumindest der Internet Explorer 6, auch mit allen Patches und Fixes. Einige Selbstversuche bei tecCHANNEL weisen aber darauf hin, dass die Sicherheitslücke auch in den vorhergehenden Versionen des IE vorliegt. Bei uns ließ sich das URL-Spoofing zumindest in allen MSIE-5.x-Versionen reproduzieren.

Das URL-Spoofing funktioniert jedoch nicht nur im IE, sondern auch in Outlook über Links aus E-Mails, wie ein bereits veröffentlichter Proof-of-Concept demonstriert. Damit stehen Betrügern momentan Tür und Tor offen, um arglose Benutzer auf gefälschte Seiten zu leiten und ihnen dort vertrauliche Informationen zu entlocken.

Trau, schau wem: Gespoofter URL im MS Internet Explorer 6.

Der Entdecker der Sicherheitslücke, Zap the Dingbat, wurde wegen der Veröffentlichung seiner Erkenntnisse bereits heftig attackiert. Es sei höchst unverantwortlich, wenn nicht sogar verbrecherisch, eine so einfach auszunutzende Sicherheitslücke zu publizieren, ohne Microsoft vorher Gelegenheit zu einem Fix zu geben, schrieb etwa der Sicherheitsexperte Tamas Feher auf Full Disclosure.

"Während der Weihnachtszeit werden Betrüger damit wahrscheinlich tausende Menschen um ihre Online-Banking-Accounts erleichtern. Das organisierte Verbrechen erhält Vorschub, die Gesellschaft muss leiden", wettert Feher. Ein Patch, so meint er, hätte den Anwendern zumindest eine theoretische Chance zur Verteidigung eingeräumt.

Nach momentanem Kenntnisstand lässt sich das URL-Spoofing nur über Javascript ausnutzen. Dazu setzt der Angreifer hinter den "gefälschten" URL das URL-kodierte Zeichen "%01", gefolgt von einem Klammeraffen "@" und dem URL der tatsächlich anzusteuernden Webseite. Mit dem Befehl

location.href=unescape('http://www.microsoft.de%01@www.
tecchannel.de/sicherheit/aktuell.html')

beispielsweise lässt sich die entsprechende tecCHANNEL-Seite laden, in der Adressleiste des Explorers erscheint jedoch der FQDN von Microsoft Deutschland (siehe Bild).

Bis Microsoft mit einer Fehlerbereinigung dienen kann, empfiehlt es sich, beim Anklicken von Links aus nicht hundertprozentig vertrauenswürdigen Quellen extreme Vorsicht walten zu lassen. Einen kleinen Hinweis auf eine URL-Fälschung bietet zumindest der Internet-Explorer: Das URL-Spoofing funktioniert offenbar nur mit FQDNs, die weder durch einen Slash ("/") abgeschlossen sind, noch direkt auf eine Seite verweisen. Taucht also in der Adressleiste ein URL der Form "http://www.domain.tld" auf, ist Misstrauen angebracht (siehe Bild).

Generell scheint das URL-Spoofing ein aktiviertes Active Scripting vorauszusetzen. Hier lässt sich nur der gebetsmühlenartig immer wieder vorgebrachte Ratschlag wiederholen, dem Internet Explorer Active Scripting generell zu untersagen. Sie sollten es nur für solche Sites gezielt aktivieren, die absolut vertrauenswürdig sind und es funktionell benötigen. Ebenso generell empfiehlt sich für den Netzwerkeinsatz, potenziell gefährliche Zeichen aus URLs bereits am Perimeter mittels eines Proxy-Servers oder einer Firewall mit der Fähigkeit zur URL-Filterung zu entfernen. (jlu)

Update:

Entgegen den ersten Vermutungen setzt das URL-Spoofing nicht zwangsläufig Javascript voraus. Auch in normalen HTML-Links lässt sich der Trick anwenden, indem man das URL-kodierte "%01" durch ein einzelnes Zeichen des Werts 0x01 ersetzt. Allerdings fliegt dieser Täuschungsversuch sehr leicht auf: Bewegt man die Maus über einen solchen Link, zeigt der Internet Explorer in der Statuszeile den gesamten Link-Text mitsamt der "Umleitung" an.