Outlook Web Access anfällig für Phishing-Angriff
Die Sicherheitsexperten von Gnucitizen warnen vor einem möglichen Fehler im Webinterface von Outlook 2003, der bei einem Phishing-Angriff zum Ausspähen der Anmeldedaten des Nutzers missbraucht werden kann.
Das von Gnucitizen beschriebene Szenario setzt auf zwei Eigenschaften von Outlook Web Access 2003 (OWA) auf, die Microsoft ausdrücklich nicht als Fehler bezeichnet hat. OWA erlaubt eine Umleitung nach der Anmeldung innerhalb der gleichen Domain und ermöglicht die Voraussage der URL eines Dateianhanges zu einer E-Mail.
Dateianhänge zu einer E-Mail sind in OWA über einen Link zugänglich, der auch ohne den enthaltenen Hexadezimalcode aufgerufen werden kann. Alle anderen Bestandteile des Links, wie Domain-Name des Exchange-Servers oder die E-Mail-Adresse des Empfängers, könnten von einem Angreifer erraten oder im Internet sowie auf einem kompromittierten Rechner gesammelt werden.
Das eigentliche Angriffsmodell besteht aus zwei Teilen. Im ersten Teil erhält ein Inhaber eines Exchange-Kontos mit OWA eine E-Mail mit einer manipulierten HTML-Datei. Bei der HTML-Datei handelt es sich um eine falsche Anmeldeseite für OWA, die dem Nutzer vorgaukelt, er habe die Verbindung zum Server verloren und müsse sich neu anmelden.
Im zweiten Teil wird der Empfänger zum Ziel eines Phishing-Versuchs, bei dem der Anwender die URL des manipulierten Dateianhanges präsentiert bekommt, die er zuvor per E-Mail erhalten hat. Über eine Umleitung per URL-Parameter öffnet der Anwender schließlich diese HTML-Datei. Anschließend werden die Anmeldedaten zu OWA erneut abgefragt und können dabei an die Webseite des Angreifers umgeleitet werden.
Das Besondere an diesem Angriff ist laut den Sicherheitsexperten, dass er von innerhalb der Domain ausgeführt wird, welche die OWA-Anwendung hosted. Auch sei eine Übertragung auf andere Webmail-Dienste denkbar, welche die von den Forschern genannten Anforderungen erfüllen.
Gnucitizen hat diese Schwachstelle als eine “gewollte Unsicherheit” bezeichnet. Vor der Veröffentlichung habe man Microsoft über die eigenen Ergebnisse mit einer Schritt-für-Schritt-Anleitung informiert. Der Softwareriese habe diese aber nicht als Problem anerkennen wollen.