[Security Hole] Hotmail

#0
20.06.2003, 14:45
Ehrenmitglied

Beiträge: 831
#1 Datum : 18.06.2003

Vulnerability : http://www.hotmail.com

Patch : http://www.hotmail.com

http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/Hotmail/


Hotmail ist ein freier, von Microsoft betriebener Freemail-Service, der mit Yahoo Mail und GMX vergleichbar ist. Die Nachrichten können mittels Webbrowser auf http://www.hotmail.com verfasst, verschickt und gelesen werden. Zusätzliche Features wie ein Adressbuch, Kalender und einen Antiviren-Schutz runden das Angebot ab. Die Sicherheitsexperten Hugo Vázquez Caramés und Toni Cortés Martínez von Infohacking fanden heraus, dass mit der Hilfe einer Cross Site Scripting Schwachstelle im Hotmail-Angebot der Antiviren-Dienst umgangen werden kann. Auf dem Hotmail-Server abgelegte Mails mit Attachments können jeweils über eine URL direkt angesprochen werden. Bei dieser URL wird ein Parameter übergeben, der definiert, ob beim Herunterladen des Anhangs eine Überprüfung auf Viren durchgeführt werden soll. Wird die Zeichenkette &vscan=scan weggelassen, findet kein Scan statt. Wie im Advisory beschrieben, verschickt ein Angreifer eine Email mit zwei Attachements. Der erste Anhang beinhaltet ein in einem HTML-Dokument eingebettetes Skript. Der zweite Anhang ist eine Datei mit einem Virus (z.B. Ein NetBus Server). Öffnet ein Benutzer nun das erste Attachment, wird das Skript gestartet, sofern Javaskript aktiviert ist und Hotmail zu den vertrauenswürdigen Sites zählt. Das Skript ermittelt nun die Session- und Message-ID aus der aktuellen URL und startet den Download des zweiten Attachments - Jedoch ohne Kennzeichnung für den Virenscan. Zwar wird dazu ein Fenster geöffnet, in dem der Benutzer dem Download zustimmen muss, meist wird der Inhalt solch eines Fensters aber kaum wahrgenommen und einfach nur weggeklickt. Einen direkten Schutz vor dieser Schwachstelle gibt es nicht. Man könnte Javascript temporär deaktivieren, bis Microsoft den Designfehler in ihrem Hotmail-Service behoben hat. Dem Virenschutz von Hotmail sollte man zur Zeit nicht 100 %ig vertrauen. Zudem sollte auf jedem PC ein aktualisierter Virenscanner installiert sein.

Diese Meldung tauchte im Heise-Forum auf und entflammte dort einmal mehr eine heisse Diskussion. Die Verteidiger von Microsoft beharren darauf, dass sehr viele Umstände zusammenspielen müssen, damit die Schwachstelle erfolgreich ausgenutzt werden kann (Javascript aktiviert, Hotmail.com zählt zu vertrauenswürdigen Seiten). Fakt ist jedoch, dass es sich hier um einen Designfehler handelt, dessen Ausnutzung nicht unrealistisch erscheint. Man sollte also die Hinweise in den Advisories beachten und Vorsicht im Umgang mit Hotmail walten lassen.

quelle scip
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende