Die Rückkehr der Web-Bugs

Web-Bugs sind lästig und bedrohen unter Umständen die Privatsphäre. Dabei handelt es um grafische Objekte in HTML-Mails, die der Mail-Client beim Anzeigen der Mail von einer Webseite nachlädt. Die Bilder sind meist nur 1×1 Pixel groß. Ursprünglich nutzten Spammer diese Methode, um die Gültigkeit von Mail-Adresse zu verifizieren, aber auch das FBI setzte die Methode schon ein, um Erpresser dingfest zu machen. Ähnlich funktionieren Web-Bugs in Office-Dokumenten, um nachzuvollziehen, wer wann welches Dokument geöffnet hat.

Moderne Mailclients unterbinden aus Sicherheitsgründen das Nachladen von Inhalten von externen Seiten, ebenso wie Office-Programme nicht mehr ungefragt Kontakt mit einem Server Verbindung aufnehmen. Alexander Klink von Cynops hat nun eine Schwachstelle in Microsoft-Produkten beziehungsweise der Crypto-API aufgedeckt, mit der sich Web-Bugs wieder ausnutzen lassen. Diesmal funktioniert der Trick allerdings nicht mit Grafiken, sondern mit digitalen Zertifikaten.

Microsoft Outlook und Windows Live Mail rufen beim Empfang und der Verarbeitung von S/MIME-Mails im X.509-Zertifikat enthaltene URIs auf. Der RFC 3280 sieht nämlich Erweiterungen im Zertifikat vor, durch die Clients zur Verifizierung der Gültigkeit eines Zertifikates ein so genanntes Intermediate Certificate per HTTP nachladen können. Die URI dorthin steht im Zertifikat selbst. Allerdings lassen sich in die dafür verantwortlichen CA-Issuer-Felder beliebige URIs eintragen, sodass ein Spammer oder das FBI die URI auf ihre eigenen Server zeigen lassen, um den Empfang mitprotokollieren zu können – neben Datum und Uhrzeit auch die IP-Adresse. Insgesamt bis zu fünf solcher Issuer-Angaben verarbeitet Microsofts Crypto-API pro Zertifikat.

Laut Klink sind darüber hinaus noch weitere Angriffe denkbar, da sich über die HTTP-URLs auch Ressourcen im lokalen Netz aufrufen lassen, auf die der Zugriff von außen sonst nicht denkbar wäre. Zwar erhält man damit keine direkten Informationen, aber über Zeitunterschiede zwischen der Abfrage externer und interner URIs ließe sich etwa ermitteln, ob ein System mit einer bestimmten IP-Adresse vorhanden ist.

Neben Microsofts Mail-Clients ist auch Office 2007 von dem Problem betroffen. Möglicherweise sind auch S/MIME-Gateway verwundbar. Nicht betroffen sind Lotus Notes 8, Mozilla Thunderbird, Apple Mail.app und auf OpenSSL-based Mail-Clients, weil diese laut Klink die Zertifikatserweiterung gar nicht unterstützen und daher die URI gar nicht aufrufen können.

Microsoft ist über das Problem informiert, eine Lösung scheint sich aber noch nicht abzuzeichnen. Als Workaround schlägt der Fehlerbericht bei S/MIME-Gateways vor, den ausgehenden Verkehr über eine Firewall zu reglementieren. Für die Mail-Clients sollen die Einschränkung von HTTP-Requests Abhilfe schaffen.

Ob das eigene System verwundbar ist und möglicherweise Kontakt mit einem externen Server aufnimmt, können Anwender mit einer Mail an smime-http@klink.name selbst testen. Die daraufhin verschickte Antwort-Mail enthält ein präpariertes Zertifikat von Klink und einen Link, mit den sich das Ergebnis aufrufen lässt. Alexander Klink stellt zudem ein präpariertes Word-Dokument bereit, das ebenfalls nach Hause telefoniert.

Siehe dazu auch:

• HTTP over X.509 — a whitepaper , Fehlerbericht von Alexander Klink

(dab)