Auch ohne jede Sicherheitslücke lassen sich in Webpages oder HTML-E-Mails Links einbauen, die andere Seiten ansteuern, als der Link-Text vermuten ließe. Solche Tricks kann man als Anwender aber unschwer entlarven: Das einfache Positionieren des Mauszeigers über der Referenz enthüllt normalerweise die tatsächlich angesteuerte Website oder Page.
An dieser Stelle setzt das so genannte URL-Spoofing an: Auf Grund von Programmfehlern, die der Angreifer (meist via Javascript) zum Modifizieren des Statuszeilentexts ausnutzt, zeigt er auch dort den falschen URL an. Der Benutzer soll arglos dem vermeintlich sicheren Link vertrauen. Ein Klick führt ihn dann entweder auf eine vom Angreifer präparierte Website, lädt Schadcode aus dem Web nach oder führt in einer Mail als Attachment enthaltenen Code direkt aus.
Auswirkungen
Für sich betrachtet handelt es sich beim URL-Spoofing eher um eine weniger kritische Schwachstelle. Ein einfacher Besuch auf einer falschen Website hat per se noch keine fatalen Folgen. Kritisch wird das URL-Spoofing aber in Kombination mit weiteren Sicherheitslücken im Internet Explorer oder in Windows selbst. Der Besuch einer vom Angreifer präparierten Website kann dadurch zur ungewollten Installation von Dialern, Trojanern oder anderer Schad-Software führen, die sich unter Umständen drastisch bemerkbar macht.
Da auch Outlook die HTML-Engine des IE verwendet, betreffen entsprechende Sicherheitslücken fast immer auch Microsofts Mail-Programm. Damit drängen sich maßgeschneiderte HTML-E-Mails dem potenziellen Angreifer als Angriffsvektor geradezu auf. Zudem tendieren gerade Outlook-Benutzer dazu, den in der Statusleiste angezeigten Informationen besonders zu vertrauen, da HTML-Mails in der Sicherheitszone "Eingeschränkte Sites" laufen und deshalb kein Scripting erlaubt ist. Doch alle bis jetzt bekannten URL-Spoofing-Varianten für den IE und Outlook funktionieren im Zweifelsfall auch ohne Scripting - die Sicherheit ist also trügerisch.
Phishing
Einen idealen Angriffsvektor bieten die gefälschten URLs insbesondere den so genannten Phishern, die mit vorgeblich von Kreditinstituten oder Internet-Dienstleistern stammenden Mails bei ihren Opfern sicherheitsrelevante Daten "abfischen" wollen. Dabei kann es sich um Kreditkarten- oder PIN-Nummern, um Account-Daten oder Passwörter handeln.
Ein typisches Angriffs-Szenario: Das Opfer erhält eine seriös wirkende, jedoch gefälschte HTML-E-Mail von einer Bank oder einem Provider, in der um eine Aktualisierung der persönlichen Daten gebeten wird. Praktischerweise ist der Link zum "Update" gleich enthalten. Die gespoofte URL führt jedoch zu einer vom Angreifer präparierten Site, die wie eine Site des Dienstleisters aufgemacht ist. Dort hinterlässt der unvorsichtige Besucher nun seine Anmelde- und Kontendaten, mit denen ihn der Angreifer anschließend auf die echte Site des Anbieters weiterleitet, so dass der Betrug nicht sofort auffällt. Nun kann der Phisher mit den abgefangenen Daten in aller Ruhe das Konto plündern.
Derartige Attacken haben sich in den letzten Monaten explosionsartig vermehrt. Nach Angabe des E-Mail-Security-Anbieters MessageLabs beispielsweise lag die Anzahl von Phishing-Mails bei seinen Kunden im September 2003 noch bei 279. Ein halbes Jahr später, im März 2004, schlugen dort bereits mehr als 215.000 betrügerische Nachrichten auf. Besonders betroffen vom Fischen nach Kontendaten waren Kreditinstitute wie Citibank, Barclays und Visa, aber auch eBays Internet-Bezahlsystem PayPal.
Verbreitung von Schad-Software
Dass sich gefälschte URLs auch bestens zur Verbreitung von Schad-Software einsetzen lassen, zeigt ein Beispiel anhand der jüngsten URL-Spoofing-Lücke im IE und in Outlook, die am 10. Mai 2004 publik wurde.
Diese nutzt das eigentlich zur Verwendung von Bildern als multiple Referenz gedachte HTML-Tag MAP. Je nach Lage des Mauszeigers über der Image-Map wird der Benutzer auf unterschiedliche Pages weitergeleitet. Bettet ein Angreifer jedoch in ein solches Tag mit A HREF einen weiteren Link ein, zeigen der Internet Explorer und alle Outlook-Versionen vor 2003 in der Statusleiste den im äußeren Link angegebenen URL an. Ein Klick führt jedoch stattdessen auf die im inneren Link angegebene Page.
Dies kann ein Angreifer beispielsweise ausnutzen, indem er dem Anwender eine entsprechend präparierte HTML-E-Mail mit einem solchen Link zuschickt. Dabei verweist dieser statt auf die im Link-Text angegebene Webseite auf ein Attachment der E-Mail. Dieser Anhang enthält den Schadcode, den der Anwender somit unfreiwillig per Mausklick startet. Statt die - möglicherweise schon bekannte und dann durch Antivirus-Programme ausfilterbare - Schad-Software an die Mail anzuhängen, ließe sich aber in solchen Mails auch ein Link unterbringen, der den Wurm oder Virus über den gespooften URL aus dem Netz nachlädt.
URL-Spoofing, die Erste
Die aktuelle URL-Spoofing-Lücke ist jedoch nicht die erste, bei der sich der Microsoft Internet Explorer und die diversen Outlook-Varianten verwundbar zeigen. Seit Dezember 2003 wurden insgesamt drei solcher Bugs bekannt.
Die erste Lücke, über die sich gefälschte URLs in der Statuszeile anzeigen lassen, tauchte am 10. Dezember 2003 im Internet Explorer und in Outlook auf. Am einfachsten war die Schwäche auszunutzen, indem der Angreifer hinter den "gefälschten" URLs das URL-kodierte Zeichen "%01", gefolgt von einem Klammeraffen "@" und dem URL der tatsächlich anzusteuernden Webseite setzte. Mit dem Befehl
location.href=unescape('http://www.microsoft.de%01@www.tecchannel.de/sicherheit/aktuell.html')
beispielsweise ließ sich die entsprechende tecCHANNEL-Seite laden, in der Adressleiste des Explorer erschien jedoch der FQDN von Microsoft Deutschland (siehe Bild).
Aber auch ohne Javascript und in normalen HTML-Links funktionierte der Trick, wenn der Angreifer das URL-kodierte "%01" durch ein einzelnes Zeichen des Werts 0x01 ersetzte. Allerdings fliegt dieser Täuschungsversuch relativ leicht auf: Bewegt man die Maus über einen solchen Link, zeigt der Internet Explorer in der Statuszeile den gesamten Link-Text mitsamt der "Umleitung" an.
URL-Spoofing, die Zweite
Eine zweite URL-Spoofing-Lücke, wiederum im Internet Explorer und außerdem in Outlook Express, wurde am 1. April 2004 publik. Wiederum erlaubte der Bug, in der Statusleiste der Anwendungen einen gefälschten URL anzuzeigen.
Unter normalen Umständen kann lediglich Script-Code die in der Statusleiste angezeigten Informationen manipulieren. Auf Grund eines Fehlers im Internet Explorer ließ sich dies jedoch auch ohne Verwendung von Script-Code erreichen. Der Angreifer konnte dies ausnutzen, indem er ein entsprechend präpariertes HTML-Formular in einen Link innerhalb eines HTML-Dokuments einbettete. Statt auf die angezeigte Site führte der gefälschte Link den Benutzer auf eine vom Angreifer vorgegebene Page.
Von der Sicherheitslücke war auch Outlook Express betroffen, das dieselben HTML-Rendering-Funktionen nutzt wie der Internet Explorer. Die Attacke konnte dabei über jede HTML-E-Mail erfolgen.
Fazit
Während Microsoft die mit den ersten beiden Lücken aufgerissenen Löcher bereits durch entsprechende Security-Updates wieder gestopft hat, bleibt die Gefahr durch die am 10. Mai 2004 entdeckte Spoofing-Schwäche vorerst offen. Dies ist umso unangenehmer, als mit Ausnahme von Outlook 2003 alle Outlook-Varianten davon betroffen sind.
Gegen die mit dem Spoofing verbundenen Gefahren lässt sich ohne entsprechende Updates des Herstellers leider nur wenig unternehmen. Da inzwischen sehr viele E-Mails im HTML-Format versandt werden, erscheint ein Prüfen des Quelltexts aller dieser Nachrichten beziehungsweise das generelle Deaktivieren der HTML-Ansicht für Mails in Outlook als völlig unpraktikabel.
Bis zu einer Beseitigung der Lücke durch Microsoft bleibt also als Work-around nur äußerste Vorsicht: Falls Sie über HTML-E-Mails erhaltene URLs verwenden wollen, klicken Sie diese also keinesfalls an, sondern tippen Sie sie manuell in den Browser ein. Folgen Sie außerdem auch im Browser keinen Links, die von nicht absolut vertrauenswürdigen Websites stammen.
Wegen der inzwischen zum Dauerzustand mutierten Bedrohung durch gespoofte URLs bei der Verwendung von Microsoft-Produkten sollte man sich auch überlegen, zu alternativen Produkten zu wechseln. Als integrierte Browser- und Mail-Suite bietet sich beispielsweise Mozilla an, das im letzten Jahr deutlich gereift ist. Auch die Open-Source-Suite weist zwar hin und wieder Sicherheitslücken auf. Diese fallen aber meist weniger kritisch aus - und werden in aller Regel schneller und gründlicher beseitigt. (jlu)