Nieuws
image

Hotmail lekt e-mails aan criminelen

dinsdag 24 mei 2011, 10:51 door Redactie, 9 reacties

Een beveiligingslek in Hotmail is gebruikt voor het stelen van e-mails en contactgegevens. Hoeveel gebruikers zijn getroffen is onbekend. Voor het uitvoeren van de aanval volstond het openen van een speciaal geprepareerde e-mail. Het ingebedde script werd dan automatisch uitgevoerd. Aanvallers konden zo toegang tot vertrouwelijke informatie krijgen, zoals e-mailberichten en contacten van het slachtoffer. "De gestolen e-mailberichten kunnen vertrouwelijke gegevens bevatten, die cybercriminelen voor verschillende doeleinden kunnen gebruiken", zegt Karl Dominguez van het Japanse anti-virusbedrijf Trend Micro.

Het ingebedde script maakt verbinding met een URL om weer een ander script te downloaden. Volgens Dominguez suggereert de aard van de URL dat het om een gerichte aanval gaat. De URL bevat namelijk twee variabelen, accountnaam en een getal, die de aanvaller moet instellen. Het getal bepaalt de kwaadaardige lading die wordt uitgevoerd. De tweede stap van de aanval is het doorsturen van alle e-mailberichten die gebruiker tijdens de sessie ontvangt. De geprepareerde e-mail gebruikers ontvangen doet zich onder andere als Facebook waarschuwing voor. In het voorbeeld dat de virusbestrijder toont, gaat het om een Chinese e-mail.

De aanval zou een CSS filterfout in Hotmail misbruiken en is inmiddels door Microsoft verholpen. Tijdens de analyse van het filtermechanisme ontdekte Trend Micro dat de code helpt om een karakter aan de CSS parameters toe te voegen, waardoor de aanvallers uiteindelijk willekeurige code in de huidige Hotmail-sessie kunnen uitvoeren.

Reacties (9)
24-05-2011, 10:56 door Rubbertje
Voor het uitvoeren van de aanval volstond het openen van een speciaal geprepareerde e-mail.
Dus zonder op een link of attachment te klikken? Het openen van de mail zonder verdere actie is voldoende?
24-05-2011, 11:32 door NumesSanguis
Het ingebedde script maakt verbinding met een URL om weer een ander script te downloaden.
Dus als je NoScript had, zou die 2e script dan niet uitgevoerd worden als je niet allow scripts globally aan had? Als dat zo is dan ben ik blij dat ik NoScript gebruik.
@Bastos hierboven, de content suggereert dat alleen openen genoeg is, een spam mail waar je eerst op een link moet drukken is niet zo bijzonder om het hier apart te vermelden.
24-05-2011, 11:59 door Mysterio
Door NumesSanguis:
Het ingebedde script maakt verbinding met een URL om weer een ander script te downloaden.
Dus als je NoScript had, zou die 2e script dan niet uitgevoerd worden als je niet allow scripts globally aan had? Als dat zo is dan ben ik blij dat ik NoScript gebruik.
@Bastos hierboven, de content suggereert dat alleen openen genoeg is, een spam mail waar je eerst op een link moet drukken is niet zo bijzonder om het hier apart te vermelden.
Dat is een beetje vreemd, aangezien de actieve inhoud van berichten van onbekende afzenders, standaard wort geblokkeerd.

De geprepareerde e-mail gebruikers ontvangen doet zich onder andere als Facebook waarschuwing voor.
Volgens mij is er een woordje vergeten in de zin, want de zin loopt zo niet. Maar standaard trapt hotmail hier niet in. Ik vrees dat er meer nodig is dan het openen van een bericht. Waarschijnlijk moet de gebruiker in kwestie eerst de actieve inhoud toestemming geven.
24-05-2011, 13:06 door Erwtensoep
Als je volledige sessie SSL in Hotmail inschakelt zou je toch op zijn minst een waarschuwing van niet volledig versleutelde verbinding of certificaat waarschuwing moeten krijgen?
24-05-2011, 14:13 door spatieman
. In het voorbeeld dat de virusbestrijder toont, gaat het om een Chinese e-mail.
--
1: alles wat van china komt is niet te vertrouwen.
2: de CN overheid ontkent alles.
24-05-2011, 19:03 door Lekensteyn
Door NumesSanguis:
Het ingebedde script maakt verbinding met een URL om weer een ander script te downloaden.
Dus als je NoScript had, zou die 2e script dan niet uitgevoerd worden als je niet allow scripts globally aan had? Als dat zo is dan ben ik blij dat ik NoScript gebruik.
@Bastos hierboven, de content suggereert dat alleen openen genoeg is, een spam mail waar je eerst op een link moet drukken is niet zo bijzonder om het hier apart te vermelden.
"Hotmail filterfout" "css"
Dat doet me vermoeden dat het hier gaat om een [s]bug[/s] feature van Internet Explorer: de expression() waarde. Hiermee kan willekeurige javascript code worden uitgevoerd. Deze "feature" zou kunnen worden gebruikt om in een CSS stylesheet met javascript de waarde van een eigenschap te bepalen, bijvoorbeeld een zwarte achtergrond in de nacht, en wit overdag.
Als je NoScript gebruikt (dus FF) zou je hier geen last van hebben.

't Is maar een vermoeden, maar anders zou ik niet weten hoe je willekeurige code moet uitvoeren in IE op een softwarebug (geen feature) na dan.
24-05-2011, 19:11 door Rubbertje
Door NumesSanguis:
Het ingebedde script maakt verbinding met een URL om weer een ander script te downloaden.
Dus als je NoScript had, zou die 2e script dan niet uitgevoerd worden als je niet allow scripts globally aan had? Als dat zo is dan ben ik blij dat ik NoScript gebruik.
@Bastos hierboven, de content suggereert dat alleen openen genoeg is, een spam mail waar je eerst op een link moet drukken is niet zo bijzonder om het hier apart te vermelden.
Bedankt voor je reactie Numes, maar volgens mij blokkeert de webversie (hotmail.com) als wel mijn Ms Outlook 2010 actieve inhoud van mail...
25-05-2011, 10:52 door Anoniem
en hoe willen ze dat gaan oplossen???????
25-05-2011, 16:14 door Mysterio
Door Anoniem: en hoe willen ze dat gaan oplossen???????
Lees je echt niet verder dan de kop?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search