PR News - URL Spoofing IE, Opera, Konqueror - Suchmaschinen Spamming

Die Meldung wurde auch bei Heise Online und ursprünglich auf BugTraq besprochen - ich möchte ergänzend auf die Betrugsmöglichkeiten von Suchmaschinen-Spammern durch dieses Leck hinweisen.

Bereits Anfang Februar hat Microsoft übrigens einen Patch bereitgestellt, der URL-Spoofing durch das Verwenden das @-Zeichens verhindert. Dies ist eine besonders von Mail-Spammern verwendete Variante, um darauf aufbauend weitere Sicherheitslücken im IE zu nutzen und unerlaubt Code (Dialer, Würmer etc...) auf fremden Rechnern auszuführen.

Bei dem neuen Leck ist es mit einem entsprechenden HTML-Link möglich, dem Surfer des IE (ab Version 5.01) in der Browseradresse eine andere URL anzuzeigen als gerade besucht wird. 

Der Trick ist, den Link als "HTML-Form" zu definieren. Diese Forms werden normalerweise zur Übertragung von Formulardaten per GET und POST an Webserver genutzt.

Folgendes Beispiel soll dies erläutern:

Der IE-Surfer klickt auf einer Webseite einen "normalen" Link an, und bekommt anschliessend die URL "angezeigte-url.net" angezeigt, obwohl er sich auf der URL "versteckte-url.net" befindet.

In Verbindung mit einer Browserweiche ist es Suchmaschinen-Spammern theoretisch möglich, innerhalb einer inhaltlich für Surfer nutzlosen, eventuell mit "unsichtbaren" Seiten, und vielleicht sogar fast leeren Spam-URL, welche alleine für Suchmaschinen-Bots erstellt wurde, einen anderen (auch fremden) Content zu präsentieren und damit die eigentlichen Inhalte zu "tarnen oder überlagern" und dadurch Inhalte für Surfer vorzutäuschen, die eigentlich auf einer weiteren URL liegen.

Eine andere Möglichkeit bestünde darin, einen Nutzer über den Spoofing-Link auf eine vermeintlich seriöse Seite weiter zu leiten, die genau gleich aussieht wie das Original (z.B. Ebay) und dann über Würmer oder Trojaner Benutzerdaten (Passwörter etc...) zu sammeln, die der User arglos beim vermeintlich seriösen Anbieter anlegt oder angibt! Im Prinzip das Gleiche wie bei den Spam-Mails, nur merken Sie unter Umständen gar nichts davon.

Opera 7.20 zeigt einen als "angezeigte-url.net" bezeichneten Button, neben dem sich ein zweiter unsichtbarer Link befindet. Der Klick auf den Button führt auf die "versteckte-url.net", der unsichtbare Link auf "angezeigte-url.net". 

Beim Konqueror 3.1.3 führen Button + Link zu "versteckte-url.net".

Firefox 0.8 hat keine Probleme und zeigt an worauf er auch verlinkt, nämlich "angezeigte-url.net".

Für den Trick hat der Sicherheitsspezialist mit dem Pseudonym "http-equiv" bereits folgenden "Proof-of-Concept-Code" geschrieben:

<A href="http://www.microsoft.com"><FORM action=http://www.malware.com/t-bill.html method=get><INPUT style="BORDER-RIGHT: 0pt; BORDER-TOP: 0pt; FONT-SIZE: 10pt; BORDER-LEFT: 0pt; CURSOR: hand; COLOR: blue; BORDER-BOTTOM: 0pt; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" type=submit value=http://www.microsoft.com></A>

Ich drucke den Code hier ab, da ich davon ausgehe, daß die meisten Nutzer unserer Seiten die technisch dahinter stehende Umsetzung verstehen, und dadurch die Möglichkeit bekommen, dies in Quelltexten von verdächtigen Webseiten zumindest nachvollziehen zu können. Gegebenenfalls kann man dann zumindest irregulär arbeitende Mitbewerber etwas ausbremsen...;-))

Um Kritik an der Veröffentlichung des obigen Codes vorzubeugen: Suchmaschinen- und Mailspammer mit krimineller Energie kennen diese Möglichkeit bereits, ohne auf obige Info von mir angewiesen zu sein, da sie in den einschlägigen Kreisen bereits seit Wochen verfügbar ist!

Aktuell hat Microsoft für das URL-Spoofing Leck mittels GET und POST immer noch keinen Patch zur Verfüfgung gestellt.

Ranking KnowHow von Profi-Ranking - profitieren Sie davon! Partnerseiten: Suchmaschinen Ranking - Lastminute Reisen - Übersetzungen - Brillen * PageRank™ und Google™ sind geschützte Marken der Google Inc., Mountain View CA, USA.