Konstante Gefahr: URL-Spoofing in Outlook und IE

URL-Spoofing, die Erste

Die aktuelle URL-Spoofing-Lücke ist jedoch nicht die erste, bei der sich der Microsoft Internet Explorer und die diversen Outlook-Varianten verwundbar zeigen. Seit Dezember 2003 wurden insgesamt drei solcher Bugs bekannt.

Die erste Lücke, über die sich gefälschte URLs in der Statuszeile anzeigen lassen, tauchte am 10. Dezember 2003 im Internet Explorer und in Outlook auf. Am einfachsten war die Schwäche auszunutzen, indem der Angreifer hinter den "gefälschten" URLs das URL-kodierte Zeichen "%01", gefolgt von einem Klammeraffen "@" und dem URL der tatsächlich anzusteuernden Webseite setzte. Mit dem Befehl

location.href=unescape('http://www.microsoft.de%01@www.tecchannel.de/sicherheit/aktuell.html')

beispielsweise ließ sich die entsprechende tecCHANNEL-Seite laden, in der Adressleiste des Explorer erschien jedoch der FQDN von Microsoft Deutschland (siehe Bild).

Aber auch ohne Javascript und in normalen HTML-Links funktionierte der Trick, wenn der Angreifer das URL-kodierte "%01" durch ein einzelnes Zeichen des Werts 0x01 ersetzte. Allerdings fliegt dieser Täuschungsversuch relativ leicht auf: Bewegt man die Maus über einen solchen Link, zeigt der Internet Explorer in der Statuszeile den gesamten Link-Text mitsamt der "Umleitung" an.