Thema: Neuer Phishing-Angriff in vielen Web-Browsern möglich

[SiLæncer]

Fehler in der Implementierung der International Domain Names (IDN)

Die in mehreren Browsern enthaltene Unterstützung der International Domain Names (IDN) enthält einen Fehler, worüber Phishing-Attacken vorgenommen werden können. Von dem Sicherheitsproblem sind alle Web-Browser betroffen, die Umlaut-Domains verarbeiten. Da dies Microsofts Internet Explorer auch knapp ein Jahr nach der Einführung der Umlaut-Domains nicht beherrscht, ist der Browser in der Standardausführung nicht davon betroffen.

Wie die Shmoo-Group nach eigener Aussage bereits vor langer Zeit herausgefunden hat, weist die Implementierung der International Domain Names (IDN) einen Fehler auf, der einem Angreifer Phishing-Attacken eröffnet. Darüber lassen sich sowohl Link-Angaben als auch die URL in der Adresszeile erfolgreich fälschen, so dass ein Opfer annimmt, Daten an eine vertrauenswürdige Instanz zu übermitteln und so etwa vertrauliche Daten in die Hände von Betrügern gibt.

Zur Demonstration des Fehlers steht ein Beispiel-Exploit bereit, das den Web-Browser vermeintlich auf die Seite von paypal.com leitet. Die betreffende URL lautet aber nicht http://www.paypal.com, sondern

Code: [Auswählen]

http://www.pаypal.com, was so in der betreffenden HTML-Seite steht, von umlautfähigen Browsern aber als www.paypal.com angezeigt wird. Ein Opfer wird so leicht in den Glauben versetzt, eine Seite von paypal.com aufzurufen, weil es keine sichtbaren Hinweise auf eine manipulierte Adressangabe gibt.

Der Fehler wurde für die Web-Browser Mozilla 1.6, Firefox 1.0, Camino 0.8.5, Safari 1.2.5, Opera 7.54, Omniweb 5 und Konqueror 3.2.2 bestätigt. Zudem dürfte das Problem auch in neueren Versionen der Browser enthalten sein. Auch Verisigns Umlaut-Domain-Erweiterung für den Internet Explorer weist das Problem auf. Die betreffenden Hersteller wurden am 19. Januar 2005 darüber informiert und nun wurde auch die Öffentlichkeit unterrichtet.

Während es vom Mozilla-Team heißt, man arbeite an einer langfristigen Lösung des Problems, sieht Opera keinen Handlungsbedarf, weil die Umlaut-Domain-Unterstützung korrekt in den Browser implementiert sei. Sowohl Apple als auch Verisign haben bislang nach Angaben der Shmoo-Group nicht auf die Erkenntnisse reagiert. Für Mozilla-basierte Browser existiert ein Workaround, der die IDN-Unterstützung komplett deaktiviert und keine Umlaut-Domains mehr verarbeitet. In der Konfigurationsdatei der Mozilla-basierten Browser muss dazu der Eintrag "network.enableIDN" auf "false" gestellt werden.

Weder für Opera noch für Safari sind derzeit Workarounds bekannt, aber man kann sich vor derartigen Attacken schützen, indem man Seiten wie Paypal, Online-Shops oder Bankseiten nur nach manueller URL-Eingabe oder Aufruf des betreffenden Lesezeichens besucht, was generell eine Abhilfe vor Phishing-Attacken bringt. Zudem lässt sich dieses Angriffsszenario aufdecken, indem man die in der HTML-Seite genannte Paypal-Adresse in einen Texteditor kopiert oder sich die betreffende Webseite in der Quelltext-Ansicht des Web-Browsers anzeigt. Bei Aufruf einer SSL-verschlüsselten Webseite genügt ein Blick in das SSL-Zertifikat, um einen Angriff ebenfalls zu erkennen.

Wer bislang Verisigns Plug-In für den Internet Explorer nicht installiert hat, ist mit Microsofts Browser nicht von dem Problem betroffen, weil Redmond auch fast ein Jahr nach der Einführung von Umlaut-Domains diese immer noch nicht unterstützt. Auch das Service Pack 2 für Windows XP ändert an dieser Situation nichts, weil auch diese Version vom Internet Explorer von sich aus keine Umlaut-Domains verarbeiten kann. Wer allerdings das kostenlose Plug-In von Verisign installiert hat, um auch mit dem Internet Explorer Umlaut-Domains verarbeiten zu können, ist gleichfalls von dem Fehler betroffen.

Quelle und Links : http://www.golem.de/0502/36131.html

[_ric_]

Bei Opera 8 (beta) passiert bei Eingabe dieser Adresse gar nichts.

[SiLæncer]

Jo .....

Hier auch noch mal....
---------------------------
Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick

Mit einem neuen Trick können Phisher den Anwendern URLs in Webbrowsern (momentan den Standardinstallationen von Opera 7.54, Konqueror 3.2.x. und Mozilla-basierenden Webbrowsern wie Firefox 1.0) vorgaukeln. Der Trick funktioniert so gut, dass man ihn sogar auf vermeintlich SSL-gesicherte Seiten anwenden kann. In dem auf der Mailing-Liste Full Disclosure erschienenen Advisory ist eine Demo verlinkt, die den Anwender vortäuscht, auf paypal.com zu führen. Auch bei Ansicht der Seiteninformationen in Firefox scheint die Seite wirklich von PayPal zu stammen -- allein der Inhalt der Seite passt nicht so recht dazu. Bei der https-Demo erscheint die Adressleiste im Firefox gelb hinterlegt. Auch warnt der Browser nicht vor einem ungültigen Zertifikat.

Angreifer und Phisher können diese Schwachstelle ausnutzen, um täuschend echt gemachte Seiten im Netz zu hinterlegen und Passwörter und Kreditkartennummern zu sammeln. Der Anwender hat kaum ein Chance festzustellen, dass die Seite gefälscht ist. Insbesondere der bei vielen Dienstleistern zu findende Hinweis, das Server-Zertifikat auf seine Gültigkeit zu prüfen, ist hier fast nutzlos. Erst die Anzeige des vollständigen Zertifikats offenbart, dass das Zertifikat zwar gültig ist, aber gar nicht für paypal.com ausgestellt wurde.

Ursache des Problems ist die Unterstützung von Internationalized Domain Names (IDN), was die Verwendung länderspezifischer Sonderzeichen ermöglicht. Deutsche Domains können durch die Kodierung mit Punycode seit dem 1. März 2004 Umlaute wie ä, ü und ö enthalten. Domain-Namen können so aber auch etwa kyrillische Zeichen umfassen. Unglücklicherweise sieht ein kyrillisches kleines a aber genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich.

Im vorliegenden Beispiel ist das erste a in paypal.com in Wirklichkeit ein kyrillsches a (http://www.pаypal.com/). Dezimal 1072 steht in Unicode für das kyrillische a. Der Link führt zu der in Punycode geschriebenen Adresse "http://www.xn--pypal-4ve.com", also nicht zum Internetbezahldienst PayPal. Das SSL-Zertifikat ist ebenfalls für www.xn--pypal-4ve.com ausgestellt und von Usertrust unterschrieben.

Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im RFC 3492 Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin und demonstrierten es anhand von Microsoft-Domains.

Da Microsofts Internet Explorer momentan standardmäßig keine derartigen internationalisierten Domain-Namen unterstützt, funktioniert der Angriff hier nicht. Grundsätzlich aber beruht das Problem nicht auf Fehlern in Browsern oder in der Namensauflösung durch Name-Server. Wie man dieses Problem angehen will, ist deshalb derzeit noch unklar. Anwender von Firefox und Mozilla können als Workaround die Unterstützung von IDN deaktivieren, sodass der Phishing-Trick nicht mehr funktioniert. In der Adressleiste gibt man dazu about:config ein und setzt anschließend network.enableIDN auf false.

Update
Der Workaround für Mozilla und Firefox scheint nur zu funktionieren, solange man den Browser nach dem Abschalten der Option nicht schließt. Andernfalls ist zwar die Funktion weiterhin auf false gesetzt, der Aufruf der genannten Domain funktioniert aber trotzdem.

Quelle : www.heise.de

[Jürgen]

Hier führt die Eingabe der Adresse
"http://www.pаypal.com/"
im FF1.0 zum vergeblichen Aufruf von
"http://www.p&.com/"
- ich habe ein nicht Unicode taugliches Windows, zudem kyrillische Zeichensätze auch nicht irgendwie nachinstalliert.

Im DOS-Fenster ergibt sich

C:\>ping www.pаypal.com
Unbekannter Host www.pаypal.com.

Sehr bedenklich ist das dennoch.