Gefälschte Outlook-URLs: Alter Wurm nutzt neue Lücke

Offenbar nutzt bereits jetzt ein Wurm - vermutlich handelt es sich um Netsky.P - eine gestern bekannt gewordene Sicherheitslücke in Microsoft Outlook zur Verbreitung via E-Mail. Ein gefälschter Link in der Mail verleitet arglose Benutzer zum Starten des Wurms.

Die fragliche Schwachstelle betrifft Outlook Express 5 sowie alle Outlook-Versionen mit Ausnahme von Outlook 2003 und ermöglicht das Anzeigen gefälschter URLs in der Statusleiste.

Dies nutzen nach tecCHANNEL vorliegenden Meldungen von Lesern die Wurm-Verbreiter bereits, indem sie an Standard-Mail-Accounts von Domains (beispielsweise an info@domainname.de) eine HTML-Nachricht senden, die einen misslungenen Mailtransfer vorgaukelt. Die echte Nachricht, so suggeriert der Text, könne der Empfänger über den anhängenden Link aufrufen. Dieser ist jedoch gefälscht - und startet den als .scr-Attachment anhängenden Wurm.

Wie ein tecCHANNEL-Leser berichtet, werden derartige Mails bereits seit Sonntag Mittag laufend versandt und weisen folgende Struktur auf:

VON : [gefälschter Absender]
AN : info@[domainname].de
BETREFF: Mail Delivery (failure info@[domainname].de)

If the message will not displayed automatically,
follow the link to read the delivered message.

Received Message is available at:
www.[domainname].de/inbox/info/read.php?sessionid-[nummer]

Folgt der Leser der Mail dem vermeintlich ungefährlichen Link auf die "eigene Domain", infiziert er damit seinen Rechner. Das Ködern von Opfern auf diese Weise ist nicht neu, sondern wird laut Trend Micro bereits seit 11. April verwendet. Unbekannt war allerdings bislang das Verwenden der neuen IE/Outlook-Schwachstelle, so dass sich die Gefahr auch über die Statuszeile nicht mehr erkennen lässt.

Microsoft offeriert bislang nicht nur keinen Work-around für die fatale Sicherheitslücke der gefälschten URLs, sondern erwähnt den Umstand noch nicht einmal auf seinem Sicherheits-Portal. Schutz bietet momentan nur persönliche Vorsicht: Deaktivieren Sie zum einen in Outlook die HTML-Ansicht für Mails, so dass sie das tatsächliche Link-Ziel anhand des Quelltexts erkennen können. Klicken Sie zum anderen Links, die Sie via Outlook-E-Mails erhalten, nicht an, sondern geben Sie gegebenenfalls den URL per Hand in der Browser ein.

Da neben Outlook ebenso der Internet Explorer (alle Versionen, auch gepatcht) von der entsprechenden Schwachstelle betroffen ist, empfiehlt es sich, beim Browsen ebenfalls Vorsicht walten zu lassen. Links sollten Sie nur dann anklicken, wenn diese von einer vertrauenswürdigen Website stammen. (jlu)