TechReport: E-Mail Security

Es müssen nicht immer die Anhänge einer E-Mail sein, von denen eine Gefahr ausgeht. Oft reicht der Nachrichteninhalt schon aus.

Dass Attachments eine potenzielle Gefahr darstellen, hat sich mittlerweile herum gesprochen. Weniger bekannt ist hingegen, dass auch der Nachrichtentext selbst Risiken bergen kann. Dafür gibt es mehrere Gründe. Einen großen Teil der Verantwortung für die neuen Sicherheitslücken trägt der Wunsch nach Komfort bei den Anwendern. Da reine Textnachrichten nicht sonderlich ansprechend aussehen, unterstützt heute so gut wie jedes Mail-Programm auch Nachrichten im HTML-Format. Da zur Anzeige entsprechender Mails meist die auf der Festplatte installierten Browser heran gezogen werden, öffnen sich einem Angreifer vielfältige Optionen.

Die zunehmende Integration von Teamfunktionen tut ein übriges dazu, die Verbreitung von bösartigem Programmcode zu vereinfachen und Einbrüche in lokale Netze zu begünstigen. Schuld sind hier vor allem die Automatisierungs-Funktionen, die bei passend codierten Nachrichten spezielle Aktionen ausführen.

Die HTML-Falle
Zugegeben: Nachrichten im HTML-Format haben einige Vorteile. Sie lassen sich besser formatieren. Und erlauben das Einbinden von Bildern in den Text. Damit öffnen sie aber auch eine Tür für Angreifer. Denn plötzlich muss der gefährliche Programmcode nicht mehr mit der Nachricht zum Empfänger gebracht werden. Über einen Link in der HTML-Nachricht holt dieser sich die Routinen selbständig aus dem Internet auf den lokalen Rechner.

Eine Iframe-Anweisung im HTML-Quelltext der Nachricht startet automatisch den Download von potenziell bösartigem Code aus dem Internet. Wäre das verwendete Outlook Express nicht auf dem neusten Stand, würde es eine direkte Ausführung über die Methode „Öffnen“ erlauben. (Abbildung vergrößern)

Eine weitere Methode ist es, den Code nicht als Attachment zu schicken, sondern direkt in die Nachricht einzubetten. Dies funktioniert besonders gut mit Produkten der Office-Reihe von Microsoft, sowie mit integrierten ActiveX-Komponenten.

Nur der auf dem Rechner installierte Virenscanner verhindert die Ausführung der in der Nachricht eingebetteten ActiveX-Komponente. (Abbildung vergrößern)

Tücken in Komfort-Funktionen
Einen Schritt weiter gehen Methoden, die Interna der benutzten Client-Software ausnutzen. Speziell betroffen sind hier wieder Office-Produkte. So lassen sich diese in ihrer Auslieferungsversion durch veränderte MIME-Header dazu bewegen, an Nachrichten angehängte Dateien automatisch auszuführen.

Das durch den modifizierten MIME-Header ausgeführte Visual Basic-Skipt hätte noch viel mehr anrichten können, als nur einige Daten über den lokalen Rechner zu sammeln. (Abbildung vergrößern)

Eine andere, ebenfalls auf Windows-Systeme beschränkte Schwachstelle ist die Object Codebase. Über diese lassen sich in eine Mail integrierte Anwendungen und Skripte direkt ausführen. Das bietet Hackern natürlich ein breites Betätigungsfeld für zerstörerische Aktionen.

Ein in der Nachricht als Access-Datenbank getarntes Visual Basic-Skript ruft bei dieser Demonstration den Taschenrechner von Windows auf – und richtet zum Glück keinen Schaden an. (Abbildung vergrößern)