Guninski findet Lücke in Outlook XP

Bug-Jäger Georgi Guninski hat sich Office XP gekauft und dort prompt ein gefährliches ActiveX-Control gefunden. Wer Outlook XP und IE 5.5 (SP1) unter Windows 2000 nutzt, kann problemlos gehackt werden, schreibt der Bulgare. Microsoft muss zugeben, dass das auch mit Outlook 98 und 2000 funktioniert.

Guninski hat das ActiveX-Element "Microsoft Outlook View Control" als Übeltäter ausfindig gemacht. Microsoft hat den Fehler bestätigt, kann aber keinen Patch anbieten, der die Lücke komplett schließt und ist deshalb reichlich sauer auf die Veröffentlichung von Guninski.

Das betroffene "View Control" bietet als Feature den Zugriff auf Outlook (Mails und Kalender) via Web. Der Zugriff sollte im Sinne der Redmonder-Erfinder nur passiv möglich sein.

Das Control lässt sich fatalerweise aber auch zum aktiven Zugriff nutzen. Somit könnte ein Angreifer Mail- und Kalenderdaten lesen, ändern und löschen. Außerdem bietet das View Control Zugriff auf das Outlook-Applikations-Objekt. Über diesen Zugang lassen sich beliebige Scripts mit allen Rechten der Anwendung ausführen, was einer Übernahme des Rechners gleichkommt.

Ein Angreifer kann den Bug mittels einer manipulierten Webseite oder Mail ausnutzen. Guninski hat außerdem herausgefunden, dass es ausreicht, wenn die verseuchte Mail im Vorschaufenster erscheint, also nicht geöffnet wird.

Blick in die Inbox von Outlook: Mit einer manipulierten Webseite demonstriert Guninski, was das fehlerhafte ActiveX-Control zulässt.

Wie üblich bietet Guninski eine Demonstration des Fehlers an. Die Lücke ließ sich im Selbstversuch nachvollziehen. Guninskis-Script funktionierte wie gewünscht. Unter anderem zeigt es die Mails im Outlook-Postfach und auch deren Inhalt an. Diverse Message-Fenster geben Informationen aus und zu guter Letzt öffnet das Script die Windows-Commando-Shell (cmd.exe).

Commando-Shell: Auch Programme lassen sich mit allen Parametern öffnen. Hier die Commando-Shell von Windows mit den Erweiterungen "c dir /a /p /s".

Den Fehler hat Guninski nach eigenen Angaben am 9. Juli an Microsoft gemeldet und will bislang keine Antwort bekommen haben. In Redmond nimmt man den Namen Guninski erst gar nicht in den Mund und bezeichnet "die Person, die den Fehler entdeckt hat" wegen der Veröffentlichung des Problems als "verantwortungslos". Es sei einfach nicht möglich, in so kurzer Zeit einen Patch zu entwickeln, der allen Anforderungen entspricht.

Das gespannte Verhältnis kommt auch in den Statements von Guninski zum Ausdruck. Normalerweise empfiehlt er als erste Hilfe das Abschalten der Active-Scripting-Funktion im Internet Explorer. Dieses Mal formuliert der Bulgare die Lösung des Problems drastischer: "Deinstallieren Sie Office XP und Windows." Microsoft empfiehlt dagegen erstere Methode und verspricht einen Patch.

Der Zugriff via manipulierter E-Mail soll laut zugehörigem Microsoft-BulletinMS01-38 in Outlook 2002 ohnehin nicht möglich sein, weil darin das E-Mail-Security-Update integriert sei. Entsprechend geschützt seien auch die Outlook-Versionen 98 und 2000, wenn dort das Update eingespielt ist. Mit dem Security-Update hatte Microsoft wie in einer früheren Meldung ausführlich berichtet auf ziemlich brachiale Weise auf die Sicherheitsprobleme von Outlook reagiert. Das Update lässt Active-Controls nicht zu und unterbindet das Öffnen diverser Dateitypen.

Wer sich selbst überzeugen will, wie man die Lücke über eine Webseite ausnutzen kann, findet das Script auf den Webseiten von Guninski. Die Anwendung erfolgt auf eigene Gefahr. Office XP, Outlook und Windows 2000 mit IE 5.5 sind laut Guninski Voraussetzung für die Demonstration.

Eine Liste mit Lücken im Internet Explorer und die dazugehörigen Patches finden Sie hier. Im Windows 2000 Bugreport sind Fehler im Betriebssystem dokumentiert. Weitere Informationen zu Office XP finden Sie in unserem Test. (uba)