Adrian Pastor (hmm, netán egy távolba szakadt hazánkfia?) egy néhány éve Petko Petkovval közösen kifejlesztett módszert tett közzé, melynek segítségével a szokásosnál jobb esélyekkel hajthatunk végre adathalász támadást Outlook Web Accesst használó felhasználók ellen. A módszert a Microsoft illetékeseinek is bemutatták, de a gyártó nem tekinti problémásnak szoftvere ilyen jellegű viselkedését, "javítás" tehát nem várható. A bemutatott technikák működhetnek más, hasonló paraméterekkel rendelkező levelezőrendszeren is.
Amikor egy OWA felhasználó megtekint egy üzenethez tartozó csatolmányt, valójában egy ehhez hasonló URL-t nyit meg:
Innentől már úgyszolván gyerekjáték a mutatvány, elég a felhasználót egy hasonló URL-re irányítani:
Mivel az oldal megbízható hoszton fut, kevesen fognak gyanakodni. Persze az élesszemű célpontoknak feltűnhet a gyanús csatolmány, ezért célszerű ezt a fájlt egy külön üzenetben elküldeni. Ez az üzenet a legjobb ha nem kerül látótérbe, ezért célszerű rá valami ősi dátumot beállítani, hogy elvesszen a levélrengetegben, vagy olyan tartalommal megtölteni az üzenettörzset, amivel a spamszűrő rögtön a szemetesbe iktatja trükkös kis kódunkat, ahonnan természetesen a csatolmány ugyanúgy előhívható.
Amikor egy OWA felhasználó megtekint egy üzenethez tartozó csatolmányt, valójában egy ehhez hasonló URL-t nyit meg:
https://victim-domain.foo/exchange/pgriffin/Inbox/\
HELLO%20THERE.EML/1_multipart_xF8FF_2_cool-file.html/\
C58EA28C-18C0-4a97-9AF2-036E93DDAFB3/cool-file.html?attach=1
Első látásra az URL nem tűnik előre számíthatónak, főleg az a sok hexa adat tűnhet problémásnak a vége felé. Meglepő módon azonban így is hozzáférhetünk a megfelelő fájlhoz:https://victim-domain.foo/exchange/pgriffin/Inbox/HELLO%20THERE/\
1_multipart_xF8FF_2_cool-file.html
ahol is pgriffin a felhasználónév, a HELLO%20THERE az üzenet tárgya, a cool-file.html pedig a csatolmány neve. Ebből a felhasználónév könnyen kitalálható (a @ előtti rész az e-mail címben), a másik két paramétert pedig a támadó választhatja meg. Innentől már úgyszolván gyerekjáték a mutatvány, elég a felhasználót egy hasonló URL-re irányítani:
https://victim-domain.foo/exchweb/bin/auth/owalogon.asp?url=\
https://victim-domain.foo/exchange/pgriffin/Inbox/\
MY%20SUBJECT.EML/1_multipart_xF8FF_2_attachment-filename.html
Inenntől kezdve pedig a kedves júzer a támadó által küldött oldalt látja, ami éppen a helyi doménről van szolgáltatva! Az OWA persze szűri a <script> tageket, de ezekre nincs is szükségünk, elég egy OWA-a bejelntkező oldalra megtévesztésig hasonlító weblapot készíteni, valami hangzatos hibaüzenettel, ami arra unszolja a felhasználót hogy írja be újra az Outlook jelszavát...Mivel az oldal megbízható hoszton fut, kevesen fognak gyanakodni. Persze az élesszemű célpontoknak feltűnhet a gyanús csatolmány, ezért célszerű ezt a fájlt egy külön üzenetben elküldeni. Ez az üzenet a legjobb ha nem kerül látótérbe, ezért célszerű rá valami ősi dátumot beállítani, hogy elvesszen a levélrengetegben, vagy olyan tartalommal megtölteni az üzenettörzset, amivel a spamszűrő rögtön a szemetesbe iktatja trükkös kis kódunkat, ahonnan természetesen a csatolmány ugyanúgy előhívható.
andreiground (törölt) · http://www.andreiground.com/ 2007.12.12. 00:00:03