Schweres Sicherheitsloch im MSN-Messenger

Durch eine simple Manipulation liefern Benutzer des Instant-Messenging-Programms von Microsoft ihre Daten an eine beliebige Website. Übertragen lassen sich Benutzername, Mail-Adresse und die Liste der Chatpartner.

Die neue Lücke taucht hier in der Security-Mailingliste Bugtraq auf. Der Entdecker namens Richard Burton beschreibt darin ausführlich, wie wenig die Daten eines Benutzers des MSN-Messenger geschützt sind.

Microsoft verwendet den Messenger unter anderem, um registrierte Benutzer von Diensten wie MSN, Hotmail oder Passport mit dem Namen zu begrüßen. Dazu dürfen diese Sites über ein Script, das im Code der Webseite eingebettet ist, den Benutzernamen, die Mail-Adresse und die Liste der Chatpartner auslesen. Wie sich die Microsoft-Sites gegenüber dem Messenger zu erkennen geben, beschreibt Burton nicht, er vermutet, die Liste sei im Messenger fest eingebaut.

Dafür hat er jedoch entdeckt, dass sich diese Liste der "vertrauenswürdigen" Sites über den Registry-Key

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\MessengerService\\ Policies\\Suffixes

beliebig erweitern lässt.

Burton hat für die Lücke eine Demonstrations-Seite ins Netz gestellt. Wer sie bei laufendem MSN-Messenger besucht, muss nur noch eine .reg-Datei der Seite ausführen, und bekommt sofort seine Daten angezeigt.

Der Entdecker des Fehlers weist berechtigterweise darauf hin, dass bei jeder Installation eines Programms neue Domains in die Liste der Sites für den Messenger aufgenommen werden können. Gerade durch die Verbindung von Webfunktionalität und der ungefragten Übermittlung von Daten sieht Burton eine Gefährdung der Privatsphäre gegeben.

Am folgendem Beispiel wird diese Argumentation leicht nachvollziehbar. Der File-Sharing-Client Morpheus arbeitet mit dem Internet-Explorer zusammen, um damit unter anderem Werbebanner aus dem Web zu holen. Dennoch muss Morpheus als Programm installiert werden, und könnte dabei beliebige Sites für den MSN-Messenger öffnen.

Damit wäre es ein Leichtes, zusammen mit den Benutzerdaten des Messenger auch eine Liste der übertragenen oder zum Download freigegebenen Dateien an eine beliebige Webseite zu übermitteln, denn: Das Morpheus-Netzwerk kennt zum einen den Benutzer über die Messenger-Daten und zum anderen dessen Dateien.

Auch eine Datei mit der Erweiterung .reg reicht, per E-Mail verschickt aus, um die Daten des MSN-Messenger freizugeben. Angesichts der immer wieder losgetretenen Lawinen von Mail-Würmern mit ausführbaren Dateien dürfte ein verlockender Betreff oder eine Tarnung des Datei-Namens ausreichen.

Betroffen sind laut Richard Burton alle aktuellen Versionen des MSN-Messenger - auch der mit Windows XP gelieferte "Windows Messenger". Bis das Loch gestopft ist, sollte man diese Programme folglich nicht mehr verwenden. (nie)