Weiterer Trick zum URL-Spoofen im Internet Explorer [2. Update]
Mit einem neuen Trick ist es möglich, im Internet Explorer 6 und Outlook Express 6 gefälschte URLs in der Status-Leiste anzuzeigen (URL-Spoofing)
Auf Bugtraq und Full Disclosure ist ein Posting erschienen, das eine weitere Möglichkeit beschreibt, im Internet Explorer 6 und Outlook Express 6 gefälschte URLs in der Status-Leiste anzuzeigen (URL-Spoofing). Bereits Anfang Februar hatte Microsoft einen Patch bereitgestellt, der URL-Spoofing durch das Verwenden das @-Zeichens verhindert. Für den neuen Trick hat der Sicherheitsspezialist mit dem Pseudonym http-equiv, bekannt durch mehrere Veröffentlichungen zu Schwachstellen im Internet Explorer, bereits folgenden Proof-of-Concept-Code geschrieben:
<FORM action=http://www.malware.com/t-bill.html method=get>
<INPUT style="BORDER-RIGHT: 0pt;
BORDER-TOP: 0pt; FONT-SIZE: 10pt; BORDER-LEFT: 0pt; CURSOR:
hand; COLOR:
blue; BORDER-BOTTOM: 0pt; BACKGROUND-COLOR: transparent;
TEXT-DECORATION: underline" type=submit
value=http://www.microsoft.com>
Ist dieser Code in einem HTML-Dokument eingebettet, so zeigen Internet Explorer und Outlook Express einen Link auf www.microsoft.com an. Bewegt man den Mauszeiger über den Hyperlink, so zeigt auch die Statusleiste www.microsoft.com an, obwohl der Link eigentlich auf www.malware.com/t-bill.html führt. Der Trick besteht darin, den Link als sogenanntes HTML-Form zu definieren. Normalerweise dienen solche Forms zum Übertragen von Benutzerdaten mittels GET oder POST an den Webserver. Fälschlicherweise zeigen der Browser und der E-Mail-Client statt der Form-Adresse die Link-Adresse an.
Anwender können in dem Glauben, die Webseiten von Microsoft zu besuchen, auf den Link klicken. Der Besuch der falschen Seite an sich ist noch nicht besonders tragisch, aufgrund weiterer, bislang ungepatchter Sicherheitslücken im Internet Explorer kann es das aber schnell werden. Durch diese zusätzlichen Lücken reicht allein der Besuch eines manipulierten Servers aus, um Würmer, Trojaner und Dialer installiert zu bekommen.
Die harmlose Demo von http-equiv führt zunächst auf die Seite www.malware.com, die sofort wieder auf www.microsoft.com umleitet, sodass der Benutzer kaum merkt, dass etwas nicht stimmt. Allein der kurze Aufruf genügt aber, um auf C: die Datei malware.exe zu schreiben. Nach Angaben von http-equiv erkennen einige Antivirenscanner die Demo als Angriff. Für den neuen URL-Spoofing-Trick gibt es noch keinen Patch. Mit dem c't-Browsercheck können Anwender überprüfen, ob ihr Internet Explorer über aktuelle Schwachstellen verwundbar ist.
[Update]
Auch andere Browser zeigen mit dem Demo-Code mehr oder minder falsche URLs an. Opera 7.20 zeigt einen als www.microsoft.com benannten Button an, neben dem ein weiterer, nicht sichtbarer Link platziert ist. Ein Klick auf den Button führt zur Malware-Seite, der unsichtbare Link hingegen zu Microsoft. KDEs Konqueror 3.1.3 verhält sich ähnlich, allerdings führen sowohl Button als auch Link zu www.malware.com. Firefox 0.8 zeigt sich unbeeindruckt: Den dargestellten Link weist die Statuszeile zwar als www.microsoft.com aus. Ein Klick darauf führt aber auch wirklich nur zu Microsoft.
Auf dem c't-Browsercheck finden Sie eine harmlose Demonstration des Problems. Damit können Sie selbst testen, wie sich Ihr Browser verhält.
Siehe dazu auch:
- Demo auf dem c't-Browsercheck
- Security Advisory von http-equiv