Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Adathalászat Outlook Web Accessen

2007.12.08. 23:25 | buherator | 1 komment

Adrian Pastor (hmm, netán egy távolba szakadt hazánkfia?) egy néhány éve Petko Petkovval közösen kifejlesztett módszert tett közzé, melynek segítségével a szokásosnál jobb esélyekkel hajthatunk végre adathalász támadást Outlook Web Accesst használó felhasználók ellen. A módszert a Microsoft illetékeseinek is bemutatták, de a gyártó nem tekinti problémásnak szoftvere ilyen jellegű viselkedését, "javítás" tehát nem várható. A bemutatott technikák működhetnek más, hasonló paraméterekkel rendelkező levelezőrendszeren is.

Amikor egy OWA felhasználó megtekint egy üzenethez tartozó csatolmányt, valójában egy ehhez hasonló URL-t nyit meg:
https://victim-domain.foo/exchange/pgriffin/Inbox/\
HELLO%20THERE.EML/1_multipart_xF8FF_2_cool-file.html/\
C58EA28C-18C0-4a97-9AF2-036E93DDAFB3/cool-file.html?attach=1
Első látásra az URL nem tűnik előre számíthatónak, főleg az a sok hexa adat tűnhet problémásnak a vége felé. Meglepő módon azonban így is hozzáférhetünk a megfelelő fájlhoz:
https://victim-domain.foo/exchange/pgriffin/Inbox/HELLO%20THERE/\
1_multipart_xF8FF_2_cool-file.html
ahol is pgriffin a felhasználónév, a HELLO%20THERE az üzenet tárgya, a cool-file.html pedig a csatolmány neve. Ebből a felhasználónév könnyen kitalálható (a @ előtti rész az e-mail címben), a másik két paramétert pedig a támadó választhatja meg.
Innentől már úgyszolván gyerekjáték a mutatvány, elég a felhasználót egy hasonló URL-re irányítani:
https://victim-domain.foo/exchweb/bin/auth/owalogon.asp?url=\
https://victim-domain.foo/exchange/pgriffin/Inbox/\
MY%20SUBJECT.EML/1_multipart_xF8FF_2_attachment-filename.html
Inenntől kezdve pedig a kedves júzer a támadó által küldött oldalt látja, ami éppen a helyi doménről van szolgáltatva! Az OWA persze szűri a <script> tageket, de ezekre nincs is szükségünk, elég egy OWA-a bejelntkező oldalra megtévesztésig hasonlító weblapot készíteni, valami hangzatos hibaüzenettel, ami arra unszolja a felhasználót hogy írja be újra az Outlook jelszavát...
Mivel az oldal megbízható hoszton fut, kevesen fognak gyanakodni. Persze az élesszemű célpontoknak feltűnhet a gyanús csatolmány, ezért célszerű ezt a fájlt egy külön üzenetben elküldeni. Ez az üzenet a legjobb ha nem kerül látótérbe, ezért célszerű rá valami ősi dátumot beállítani, hogy elvesszen a levélrengetegben, vagy olyan tartalommal megtölteni az üzenettörzset, amivel a spamszűrő rögtön a szemetesbe iktatja trükkös kis kódunkat, ahonnan természetesen a csatolmány ugyanúgy előhívható.

Címkék: phishing outlook web access

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

andreiground (törölt) · http://www.andreiground.com/ 2007.12.12. 00:00:03

Jópofa ötlet :) A halászok mindig dolgoznak. És hányan megeszik ezt a trükköt... (OWA vagy netbank, stb).