Outlook Web Access anfällig für Phishing-Angriff

Das von Gnucitizen beschriebene Szenario setzt auf zwei Eigenschaften von Outlook Web Access 2003 (OWA) auf, die Microsoft ausdrücklich nicht als Fehler bezeichnet hat. OWA erlaubt eine Umleitung nach der Anmeldung innerhalb der gleichen Domain und ermöglicht die Voraussage der URL eines Dateianhanges zu einer E-Mail.

Dateianhänge zu einer E-Mail sind in OWA über einen Link zugänglich, der auch ohne den enthaltenen Hexadezimalcode aufgerufen werden kann. Alle anderen Bestandteile des Links, wie Domain-Name des Exchange-Servers oder die E-Mail-Adresse des Empfängers, könnten von einem Angreifer erraten oder im Internet sowie auf einem kompromittierten Rechner gesammelt werden.

Das eigentliche Angriffsmodell besteht aus zwei Teilen. Im ersten Teil erhält ein Inhaber eines Exchange-Kontos mit OWA eine E-Mail mit einer manipulierten HTML-Datei. Bei der HTML-Datei handelt es sich um eine falsche Anmeldeseite für OWA, die dem Nutzer vorgaukelt, er habe die Verbindung zum Server verloren und müsse sich neu anmelden.

Im zweiten Teil wird der Empfänger zum Ziel eines Phishing-Versuchs, bei dem der Anwender die URL des manipulierten Dateianhanges präsentiert bekommt, die er zuvor per E-Mail erhalten hat. Über eine Umleitung per URL-Parameter öffnet der Anwender schließlich diese HTML-Datei. Anschließend werden die Anmeldedaten zu OWA erneut abgefragt und können dabei an die Webseite des Angreifers umgeleitet werden.

Das Besondere an diesem Angriff ist laut den Sicherheitsexperten, dass er von innerhalb der Domain ausgeführt wird, welche die OWA-Anwendung hosted. Auch sei eine Übertragung auf andere Webmail-Dienste denkbar, welche die von den Forschern genannten Anforderungen erfüllen.

Gnucitizen hat diese Schwachstelle als eine “gewollte Unsicherheit” bezeichnet. Vor der Veröffentlichung habe man Microsoft über die eigenen Ergebnisse mit einer Schritt-für-Schritt-Anleitung informiert. Der Softwareriese habe diese aber nicht als Problem anerkennen wollen.

Silicon-Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago