Konstante Gefahr: URL-Spoofing in Outlook und IE

Verbreitung von Schad-Software

Dass sich gefälschte URLs auch bestens zur Verbreitung von Schad-Software einsetzen lassen, zeigt ein Beispiel anhand der jüngsten URL-Spoofing-Lücke im IE und in Outlook, die am 10. Mai 2004 publik wurde.

Diese nutzt das eigentlich zur Verwendung von Bildern als multiple Referenz gedachte HTML-Tag MAP. Je nach Lage des Mauszeigers über der Image-Map wird der Benutzer auf unterschiedliche Pages weitergeleitet. Bettet ein Angreifer jedoch in ein solches Tag mit A HREF einen weiteren Link ein, zeigen der Internet Explorer und alle Outlook-Versionen vor 2003 in der Statusleiste den im äußeren Link angegebenen URL an. Ein Klick führt jedoch stattdessen auf die im inneren Link angegebene Page.

Dies kann ein Angreifer beispielsweise ausnutzen, indem er dem Anwender eine entsprechend präparierte HTML-E-Mail mit einem solchen Link zuschickt. Dabei verweist dieser statt auf die im Link-Text angegebene Webseite auf ein Attachment der E-Mail. Dieser Anhang enthält den Schadcode, den der Anwender somit unfreiwillig per Mausklick startet. Statt die - möglicherweise schon bekannte und dann durch Antivirus-Programme ausfilterbare - Schad-Software an die Mail anzuhängen, ließe sich aber in solchen Mails auch ein Link unterbringen, der den Wurm oder Virus über den gespooften URL aus dem Netz nachlädt.