Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de 		logo
Meldung Nr: RUS-CERT-378

[MS/Outlook Express] Outlook Express Adressbuch Spoofing
(2001-06-12 12:48:51+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/06/msg00035.html

Durch die Outlook Express Funktion "Automatically put people I reply to in my Address Book" kann ein Angreifer das Opfer möglicherweise täuschen und vertrauliche Information, die das Opfer im Glauben, es handelt sich um eine vertrauenswürdige Person versendet, erhalten.

Betroffene Systeme

Typ der Verwundbarkeit
Designschwäche (design flaw)

Auswirkung
Adressbuch Spoofing

Gefahrenpotential
niedrig Da ein Angreifer aber möglicherweise vertrauliche Information erlangen könnte, ist die Einstufung des Gefahrenpotentials variabel.
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Outlook Express Option "Automatically put people I reply to in my Address Book" (Tools | Options ... | Send) generiert für Mailadressen, auf die der Benutzer antwortet, neue Adressbucheintragungen. Dabei wird der NAME Teil der Mailadresse als Namen der Kontaktes und der Address Teil der Mailadresse als Mailadresse eingetragen.
Dieses Verfahren kann von einem Angreifer dazu ausgenutzt werden, sich als jemand anderes auszugeben.

Beispiel zur Verdeutlichung:
Situation: Zwei User G1 (g1@mail.com), G2 (g2@mail.com) und ein Angreifer B (b@mail.com).
Der Angreifer B sendet eine Mail an G1, mit der Absicht, sich als G2 auszugeben, und Emails, die G1 normalerweise an G2 sendet, zu empfangen.
Sendet der Angreifer B eine Mail der folgenden Art an G1

From: "g2@mail.com" < b@mail.com >
Reply-To: "g2@mail.com" < b@mail.com >
To: G1 < g1@mail.com >
so scheint die Mail von "g2@mail.com" zu kommen und dies entspricht auf dem ersten Blick dem Anwender G2.
Antwortet G1 dem vermeintlichen Freund, der in Wirklichkeit aber der Angreifer B ist, so wird ein neuer Adressbucheintrag vorgenommen. In diesem Eintrag wird der NAME Teil der Mailadresse, d.h. "g2@mail.com" und der ADDRESS Teil der Mailadresse, d.h. "b@mail.com" angelegt.
Zukünftig wird jede Mail, die G1 an (den Namen) g2@mail.com schreibt, an die Adresse "b@mail.com" gesendet.

Gegenmaßnahmen
Möglicherweise wird der nächste Service Pack für den Internet Explorer (5.5) ein Update zur Beseitigung dieser Schwachstelle beinhalten.

Workaround
Deaktivieren Sie die Option "Automatically put people I reply to in my Address Book" die sich in den Outlook Express Einstellungen unter Tools | Options ... | Send befindet.

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

https://cert.uni-stuttgart.de/ticker/article.php?mid=378