Bundesministeriums-Website ermöglichte Spamming und Phishing

Inhaltsverzeichnis

Phisher versuchen ständig, ihren E-Mails einen möglichst authentischen Anstrich zu verleihen. Das Opfer soll arglos seine Daten preisgeben und deshalb glauben, dass ihm eine offizielle Stelle die Nachricht mit dem präparierten Link zur Phishing-Seite gesendet hat. Der Hauptgewinn ist es, wenn es den Angreifern gelingt, ihre Links in einer echten E-Mail etwa einer staatlichen Institution unterzubringen.

Das Formular zur Newsletter-Anmeldung des Bundesministeriums für Familie, Senioren, Frauen und Jugend ermöglichte genau das: Spammer und Phisher konnten seit 2017 über den bei einem externen Dienstleister gehosteten Webserver des Ministeriums eigene Inhalte in E-Mails einschleusen und an beliebige Opfer verschicken lassen. Die Ursache dafür war, dass Benutzereingaben ungeprüft in die Mails zur Verifizierung der E-Mail-Adresse übernommen wurden.

Das Investigativ-Team von c’t fand die Lücke aufgrund von Spam-Mails, die am 2. August über einen Zeitraum von mindestens zwölf Stunden über den Ministeriums-Webserver verschickt wurden. Das bemerkten auch die Admins, sperrten jedoch nur einige IP-Adressen und leerten die Mail-Queue, wie uns eine Sprecherin des Ministeriums in einer Stellungnahme mitteilte.

Spam vom Staat

Auffällig an den Spam-Nachrichten war, dass es sich nicht wie sonst üblich um gefälschte E-Mails handelte, die anonym etwa über einen offenen Mailserver irgendwo in der Welt ausgeliefert wurden. Es waren authentische Newsletter-Anmeldungen, die laut Header direkt und ohne Zwischenstopp zugestellt worden waren. Ihre Botschaft und einen Link zu einer dubiosen Potenzmittel-Werbeseite hatten die Spammer dort untergebracht, wo normalerweise die persönliche Anrede steht.

Eine genauere Betrachtung des Formulars zur Anmeldung beim Newsletter auf dem Webserver des Familienministeriums bestätigte, dass die Spammer das Namensfeld missbraucht hatten, um den Link zu den Potenzmitteln einzuschleusen.

Die Web-Entwickler hatten offenkundig vergessen, die Namenseingabe in irgendeiner Weise zu überprüfen: Wir konnten keine Längenbegrenzung feststellen, selbst mehrere Kilobyte Text wurden klaglos verarbeitet. Es ließen sich sogar HTML-Tags einschleusen, da es keine Konvertierung irgendwelcher Zeichen abgesehen von Zeilenumbrüchen gab. Mehrzeilige Eingaben waren so zunächst nicht möglich, lediglich auffällige Bandwurmsätze unmittelbar hinter der Einleitungsformel.

Kontrolliert eingeschleust

Kurzerhand öffneten wir mit einem Rechtsklick im Firefox das Kontextmenü und ließen das Eingabefeld untersuchen. Mit dem DOM-Editor des Browsers ersetzten wir das input-Element durch ein textarea-Element und konnten so auch mehrzeilige, formatierte Eingaben an den Webserver des Ministeriums übertragen.

Das erweiterte die Missbrauchsmöglichkeiten dramatisch: Ein Angreifer konnte also nicht nur einen Bandwurmtext in die E-Mail einfügen, sondern den Inhalt in weiten Grenzen gestalten und kontrollieren. So ließen sich authentische E-Mails des Ministeriums mit einem täuschend echten Inhalt an beliebige Opfer versenden. Die Abbildung links unten zeigt ein solches Beispiel. Ein Opfer kann den Schwindel praktisch nicht erkennen, sämtliche üblichen Methoden wie die Überprüfung des Mail-Headers, des Absenders oder von Blacklists versagen hier.

Das zuverlässigste Gegenmittel auf Seite der Empfänger ist wie so oft Brain 2.0: Warum sollte einem das Bundesfamilienministerium unverlangt eine E-Mail schicken, in der es zur Eingabe von persönlichen Daten auf irgendeiner Internetseite auffordert? So weit reicht die Fürsorge unseres Sozialstaats dann doch nicht.

Wenige Stunden nachdem wir die Phishing-Möglichkeit nachgewiesen und dokumentiert hatten, informierten wir das CERT-Team des Bundes und das Ministerium über unsere Erkenntnisse.

Verschenktes Vertrauen

Das Desaster hat zwei Ursachen: Einerseits legte man im Familienministerium nach eigener Auskunft Wert darauf, die Interessenten mit Namen anzusprechen. In anderen Ministerien hat man sich für eine unpersönliche, aber damit auch sichere generische Ansprache ohne Benutzereingaben entschieden.

Außerdem verletzten die Entwickler der Familienministeriums-Website eine fundamentale Programmierregel: Traue niemals Benutzereingaben. Die Daten des Anmeldeformulars wurden laut Stellungnahme zunächst nicht in einer Datenbank gespeichert, sondern landeten komprimiert im Bestätigungslink. Erst nach Anklicken des Links aus der Verifizierungsmail wurden die Daten auf dem Server des Ministeriums gespeichert.

Dadurch ist es aber auch schwierig nachzuvollziehen, in welchem Ausmaß die Lücke ausgenutzt wurde. Zahlen konnte uns das Ministerium auf Nachfrage nicht nennen.

Mit einer Datenbank hätte man nicht nur leicht die Adressen der Opfer ermitteln und sie warnen können, sondern auch den jeweiligen Text der E-Mails nachvollziehen und so zweifelsfrei feststellen können, ob die Lücke tatsächlich für Phishing ausgenutzt oder ob nur Spam versendet wurde. Dem Ministerium seien lediglich Spam-Mails bekannt, teilte uns die Sprecherin mit. Zumindest die links unten abgebildete, über das Newsletter-Formular und den Ministeriums-Webserver versandte Phishing-Mail blieb also unentdeckt.

Es hat aber auch einen Vorteil, dass die Eingaben des Formulars nicht unmittelbar in einer Datenbank landeten: So ist immerhin nicht zu befürchten, dass Angreifer über eine SQL Injection an die E-Mail-Adressen potenziell Tausender Newsletter-Abonnenten des Ministeriums hätten gelangen können.

Mehr Infos

Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

Dieser Artikel stammt aus c't 18/2020.

(mid)