EDGE-Henning
Astronaut
Gefälschte Outlook-URLs: Alter Wurm nutzt neue Lücke
(c) by PC-Welt
Offenbar nutzt ein Wurm - vermutlich handelt es sich um Netsky.P - eine kürzlich bekannt gewordene Sicherheitslücke in Microsoft Outlook zur Verbreitung via Mail. Ein gefälschter Link in der Mail verleitet arglose Benutzer zum Starten des Wurms, wie unsere Schwester-Publikation Tecchannel warnt.
Die fragliche Schwachstelle betrifft Outlook Express 5 sowie alle Outlook-Versionen mit Ausnahme von Outlook 2003 und ermöglicht das Anzeigen gefälschter URLs in der Statusleiste.
Dies nutzen die Wurm-Verbreiter bereits, indem sie an Standard-Mail-Accounts von Domains (beispielsweise an info@domainname.de ) eine HTML-Nachricht senden, die einen misslungenen Mailtransfer vorgaukelt. Die echte Nachricht, so suggeriert der Text, könne der Empfänger über den anhängenden Link aufrufen. Dieser ist jedoch gefälscht - und startet den als .scr-Attachment anhängenden Wurm.
Die Wurm-Mails weisen folgende Struktur auf:
VON : [gefälschter Absender]
AN : info@[domainname].de
BETREFF: Mail Delivery (failure info@[domainname].de )
If the message will not displayed automatically,
follow the link to read the delivered message.
Received Message is available at:
www.[domainname].de/inbox/info/read.php?sessionid-[nummer ]
Folgt der Leser der Mail dem vermeintlich ungefährlichen Link auf die "eigene Domain", infiziert er damit seinen Rechner. Das Ködern von Opfern auf diese Weise ist nicht neu, sondern wird bereits seit dem 11. April verwendet. Unbekannt war allerdings bislang das Verwenden der neuen IE/Outlook-Schwachstelle, so dass sich die Gefahr auch über die Statuszeile nicht mehr erkennen lässt.
Microsoft offeriert bislang nicht nur keinen Workaround für die fatale Sicherheitslücke der gefälschten URLs, sondern erwähnt den Umstand noch nicht einmal auf seinem Sicherheits-Portal . Schutz bietet momentan nur persönliche Vorsicht: Deaktivieren Sie zum einen in Outlook die HTML-Ansicht für Mails, so dass sie das tatsächliche Link-Ziel anhand des Quelltexts erkennen können. Klicken Sie außerdem Links, die Sie via Outlook-Mails erhalten, nicht an, sondern geben Sie gegebenenfalls den URL per Hand in der Browser ein.
Da neben Outlook ebenso der Internet Explorer (alle Versionen, auch gepatcht) von der entsprechenden Schwachstelle betroffen ist, empfiehlt es sich, beim Browsen ebenfalls Vorsicht walten zu lassen. Links sollten Sie nur dann anklicken, wenn diese von einer vertrauenswürdigen Website stammen.
Beispieladressen
Für Beispiele sind bei der IANA extra Domainnamen und TLD´s reserviert. Das sind:
.test
.example
.invalid
.localhost
Dazu noch folgende Domainnamen:
example.com
example.net
example.org
Die kann man für Beispiele benutzen. Siehe RFC 2606:
http://www.faqs.org/rfcs/rfc2606.html
(c) by PC-Welt
Offenbar nutzt ein Wurm - vermutlich handelt es sich um Netsky.P - eine kürzlich bekannt gewordene Sicherheitslücke in Microsoft Outlook zur Verbreitung via Mail. Ein gefälschter Link in der Mail verleitet arglose Benutzer zum Starten des Wurms, wie unsere Schwester-Publikation Tecchannel warnt.
Die fragliche Schwachstelle betrifft Outlook Express 5 sowie alle Outlook-Versionen mit Ausnahme von Outlook 2003 und ermöglicht das Anzeigen gefälschter URLs in der Statusleiste.
Dies nutzen die Wurm-Verbreiter bereits, indem sie an Standard-Mail-Accounts von Domains (beispielsweise an info@domainname.de ) eine HTML-Nachricht senden, die einen misslungenen Mailtransfer vorgaukelt. Die echte Nachricht, so suggeriert der Text, könne der Empfänger über den anhängenden Link aufrufen. Dieser ist jedoch gefälscht - und startet den als .scr-Attachment anhängenden Wurm.
Die Wurm-Mails weisen folgende Struktur auf:
VON : [gefälschter Absender]
AN : info@[domainname].de
BETREFF: Mail Delivery (failure info@[domainname].de )
If the message will not displayed automatically,
follow the link to read the delivered message.
Received Message is available at:
www.[domainname].de/inbox/info/read.php?sessionid-[nummer ]
Folgt der Leser der Mail dem vermeintlich ungefährlichen Link auf die "eigene Domain", infiziert er damit seinen Rechner. Das Ködern von Opfern auf diese Weise ist nicht neu, sondern wird bereits seit dem 11. April verwendet. Unbekannt war allerdings bislang das Verwenden der neuen IE/Outlook-Schwachstelle, so dass sich die Gefahr auch über die Statuszeile nicht mehr erkennen lässt.
Microsoft Tatenlos
Microsoft offeriert bislang nicht nur keinen Workaround für die fatale Sicherheitslücke der gefälschten URLs, sondern erwähnt den Umstand noch nicht einmal auf seinem Sicherheits-Portal . Schutz bietet momentan nur persönliche Vorsicht: Deaktivieren Sie zum einen in Outlook die HTML-Ansicht für Mails, so dass sie das tatsächliche Link-Ziel anhand des Quelltexts erkennen können. Klicken Sie außerdem Links, die Sie via Outlook-Mails erhalten, nicht an, sondern geben Sie gegebenenfalls den URL per Hand in der Browser ein.
Da neben Outlook ebenso der Internet Explorer (alle Versionen, auch gepatcht) von der entsprechenden Schwachstelle betroffen ist, empfiehlt es sich, beim Browsen ebenfalls Vorsicht walten zu lassen. Links sollten Sie nur dann anklicken, wenn diese von einer vertrauenswürdigen Website stammen.
Beispieladressen
Für Beispiele sind bei der IANA extra Domainnamen und TLD´s reserviert. Das sind:
.test
.example
.invalid
.localhost
Dazu noch folgende Domainnamen:
example.com
example.net
example.org
Die kann man für Beispiele benutzen. Siehe RFC 2606:
http://www.faqs.org/rfcs/rfc2606.html
