Skip to main content

Hotmail mit Zero-Day-Angriff

Hotmail In letzter Zeit wurde ein Angriff auf eine Zero-Day-Lücke im Microsoft Webmail-System ausgelöst. Der Angriff ist heimtückischer als andere, da er ohne Benutzereingriff ausgeführt wird, wenn eine bösartige E-Mail geöffnet wird.

Die meisten Angriffe erfordern zusätzliche Aktionen seitens des Benutzers. Malware wird häufig in Form eines Dateianhangs oder eines in eine E-Mail eingebetteten URL-Links bereitgestellt. Diese Angriffsvektoren sind erfolgreich genug, aber zumindest einige Benutzer sind an diesem Punkt ausreichend konditioniert, um Dateianhänge nicht zu öffnen oder auf Links zu klicken. Aber eine Bedrohung wie diese - das funktioniert, sobald eine Nachricht angezeigt wird - kann eine erheblich größere Bedrohung darstellen.

Eine Zero-Day-Attacke zielte auf Hotmail-Konten. Forscher bei Trend Micro erkannten die Bedrohung und gruben um mehr darüber zu erfahren, wie es tickt. Laut einem Trend Micro-Blogpost wird beim Ausführen einer speziell gestalteten Nachricht das schädliche Skript automatisch ausgeführt. Das Skript stiehlt dann E-Mail-Nachrichten und Kontaktinformationen aus dem Hotmail-Konto.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Dieser bestimmte Angriff wurde speziell als gezielter Angriff konzipiert. Das Skript stellt eine Verbindung zu einer URL her, die zwei Variablen enthält: Name des Benutzerkontos und Nummer. Der Name des Benutzerkontos ist das Hotmail-Konto, für das der Angriff bestimmt ist, und die Nummer identifiziert die böswillige Nutzlast, die ausgeführt werden soll.

Diese URL ruft auch ein anderes bösartiges Skript auf - von Trend Micro als JS_Agent.SMJ identifiziert. Dieses Skript veranlasst Hotmail, alle E-Mail-Nachrichten, die an das viktimisierte Hotmail-Konto gesendet wurden, an eine bestimmte E-Mail-Adresse weiterzuleiten.

Trend Micro entdeckte auch einige clevere Kodierungen, die Hotmail unwissentlich den Angreifern helfen. "Wir haben den eingebetteten Code vor dem eigentlichen Inhalt der E-Mail analysiert und festgestellt, dass der Filtermechanismus von Hotmail den Code in die CSS-Parameter einfügt, um das Skript in zwei separate Zeilen für die weitere Darstellung im Webbrowser zu konvertieren CSS-Engine: Damit können Cyber-Kriminelle das Skript so konfigurieren, dass sie beliebige Befehle in der aktuellen Hotmail-Anmeldesitzung ausführen können. "

Trend Micro hat Microsoft das Problem in Verbindung mit seiner Mitgliedschaft in MAPP (Microsoft Active Protections Program), und Microsoft hat bereits ein Update für Hotmail veröffentlicht, um das Problem zu beheben.