Outlook Web Access anfällig für Phishing-Angriff

Das von Gnucitizen beschriebene Szenario setzt auf zwei Eigenschaften von Outlook Web Access 2003 (OWA) auf, die Microsoft ausdrücklich nicht als Fehler bezeichnet hat. OWA erlaubt eine Umleitung nach der Anmeldung innerhalb der gleichen Domain und ermöglicht die Voraussage der URL eines Dateianhanges zu einer E-Mail.

Dateianhänge zu einer E-Mail sind in OWA über einen Link zugänglich, der auch ohne den enthaltenen Hexadezimalcode aufgerufen werden kann. Alle anderen Bestandteile des Links, wie Domain-Name des Exchange-Servers oder die E-Mail-Adresse des Empfängers, könnten von einem Angreifer erraten oder im Internet sowie auf einem kompromittierten Rechner gesammelt werden.

Das eigentliche Angriffsmodell besteht aus zwei Teilen. Im ersten Teil erhält ein Inhaber eines Exchange-Kontos mit OWA eine E-Mail mit einer manipulierten HTML-Datei. Bei der HTML-Datei handelt es sich um eine falsche Anmeldeseite für OWA, die dem Nutzer vorgaukelt, er habe die Verbindung zum Server verloren und müsse sich neu anmelden.

Im zweiten Teil wird der Empfänger zum Ziel eines Phishing-Versuchs, bei dem der Anwender die URL des manipulierten Dateianhanges präsentiert bekommt, die er zuvor per E-Mail erhalten hat. Über eine Umleitung per URL-Parameter öffnet der Anwender schließlich diese HTML-Datei. Anschließend werden die Anmeldedaten zu OWA erneut abgefragt und können dabei an die Webseite des Angreifers umgeleitet werden.

Das Besondere an diesem Angriff ist laut den Sicherheitsexperten, dass er von innerhalb der Domain ausgeführt wird, welche die OWA-Anwendung hosted. Auch sei eine Übertragung auf andere Webmail-Dienste denkbar, welche die von den Forschern genannten Anforderungen erfüllen.

Gnucitizen hat diese Schwachstelle als eine “gewollte Unsicherheit” bezeichnet. Vor der Veröffentlichung habe man Microsoft über die eigenen Ergebnisse mit einer Schritt-für-Schritt-Anleitung informiert. Der Softwareriese habe diese aber nicht als Problem anerkennen wollen.

Silicon-Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

2 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

3 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

24 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago