Wie gefährlich sind LazyHTML ?

Hallo Experten,
habe die Frage auch im HTML-Forum gepostet, gehört aber auch irgendwie zum Thema Sicherheit:

von den Herausgebern von
www.edv-nachrichten.de
wird ein test des eigenen email-Programms auf die Anfälligkeit gegenüber LazyHTML angeboten. Ich hab den test gemacht und bekomme unten beigefügten Hinweis.
-Wie groß ist die gefahr von mails, die LazyHTML enthalten wirklich ?
-Oder ist dies nur eine geschickte Masche, um Pegasus-Mail zu promoten ?

• Gibt es Möglichkeiten, Outlook Exchange (das verwende ich zZt.) gegen LazyHTML zu schützen ?

Danke
Martin

________________________________________________________
Prüfung Ihres E-Mail-Programmes auf „Lazy HTML“-Anfälligkeit

Wenn Sie diese Seite angezeigt bekommen… ist Ihr E-Mail-Programm leider durchgefallen!!!

ACHTUNG: Dies ist ein sehr ernst gemeinter Sicherheitshinweis!

Sie sollten die Konfiguration (sofern möglich) bzw. den Einsatz Ihres E-Mail-Programmes überdenken. Sie sind anfällig gegenüber Attacken, die via „Lazy HTML“-Mails durchgeführt werden.

Neben den standardisierten Textmails nimmt die Anzahl an HTML-Mails zu. Oftmals sind HTML-Mails sog. Spam-Mails, d.h. unerwünschte Werbung. Gefährlich wird es, wenn in diesen HTML-Mails sog. „Lazy HTML“ eingesetzt wird. Hiermit wird es bei sicherheitsschwachen E-Mail-Programmen möglich, direkt durch das Lesen der Mails Code im Internet nachzuladen und auszuführen! Der Test hier schickte Ihnen nur eine harmlose Variante einer „Lazy HTML“-Mail, damit Sie Ihr E-Mail-Programm testen konnten. Ihr E-Mail-Programm hat den Test nicht bestanden!

habe die Frage auch im HTML-Forum gepostet, gehört aber auch
irgendwie zum Thema Sicherheit:

Ich denke, die Frage gehört vor allem hierher und nicht zu HTML.

ein test des eigenen email-Programms auf die Anfälligkeit
gegenüber LazyHTML

Da hat sich mal wieder jemand einen schönen „Fach“-begriff ausgedacht, um ein altes Problem unter einem neuen Namen zu beackern.
Gemeint ist damit folgendes:
HTML ist für eine weltweite Vernetzung von Texten gedacht. Eine HTML-Datei auf einem bestimmten Server, oder eben eine HTML-Mail kann also zB ein Bild enthalten, das auf einem ganz anderen Server liegt. Ein Mailprogramm, das eine HTML-Mail korrekt darstellen will, muß also evtl. auf einen Server irgendwo im Internet zugreifen, um dieses Bild/Applet/wasauchimmer nachzuladen. Das hauptsächliche Problem, das dabei entsteht, ist die Möglichkeit, daß Spam-Versender anhand solcher Zugriffe auf Ihre Server nachprüfen können, welche Ihrer Mails tatsächlich gelesen werden. Dagegen kann man sich absichern, indem man alle Internetzugriffe des Mailprogramms außer auf den eigenen Mailserver unterbindet. Dazu braucht man entweder ein Mailprogramm, daß diese Einstellung zuläßt oder erst gar kein HTML kann, oder eine der vielgescholtenen Personal Firewalls.

Die meisten Sicherheitsmängel im HTML/JavaScript/ActiveX-Teil des Mailprogramms lassen sich allerdings auch ohne Nachladen von Inhalten aus dem Internet ausnutzen. Dagegen hilft nur das rigorose Filtern von HTML-Mails oder, wie oben, ein Mailprogramm, das HTML nicht kann.

Wenn Du bei Outlook bleiben willst, empfehle ich folgende Vorgehensweise:

• In den Optionen von Outlook unter „Sicherheit“ einstellen, daß HTML-Mail zur Sicherheitszone „eingeschränkte Sites“ gehört.
• In den Einstellungen für diese Zone alles verbieten, was nicht 100% harmlos ist

Die somit ereichte Sicherheit genügt für den Hausgebrauch.

Falls Du zusätzlich das Nachladen aus dem Internet unterbinden willst:

• Personal Firewall installieren, zB Kerio (http://www.kerio.com/kpf_download.html), kostenlos und einfach zu bedienen, wenn man etwas Ahnung davon hat, wie TCP/IP funktioniert.
• Outlook starten, Mails abrufen, eine Mail verschicken. Die Firewall fragt nach, ob diese Internetzugriffe in Ordnung gehen. Zugriffe auf die Server für Mailversand und -empfang für die Zukunft zulassen, alles andere verbieten. Je nach Firewall muß man sich ein bisschen durch die Optionen klicken, wenn man bei Kerio zB einfach „Always permit“ anklickt, erlaubt es in Zukunft _alle_ Internetzugriffe dieses Programms, nicht nur die gewünschten

genumi

Hallo,

Falls Du zusätzlich das Nachladen aus dem Internet unterbinden
willst:

• Personal Firewall installieren,

Möööp!

zB Kerio
(http://www.kerio.com/kpf_download.html), kostenlos und
einfach zu bedienen, wenn man etwas Ahnung davon hat, wie
TCP/IP funktioniert.

Kannst Du mir gerade erklären, wie man mittels TCP/IP-Kenntnissen Outlook per Personal Firewall davon abhält, mit der Internet-Explorer HTML-Rendering-Engine Dinge anzuzueigen bzw. nachzuladen?

Vielen Dank,

Sebastian

Hallo Martin,

-Wie groß ist die gefahr von mails, die LazyHTML enthalten
wirklich ?

Das Risiko ist einfach „vorhanden“. Ich muss dazu etwas erläutern, damit klar wird, wie die Verlinkung (auch in HTML-Mail) funktioniert:

Ich habe es z.B. schon des öfteren gesehen, dass Spam-Mails URL-Verweise auf eine *.txt-Datei (also Nur-Text-Datei) enthielten, hinter der ein Parameter angebeben wurde. Phantasie-Beispiel:

http://besuchemich.com/ganz/dringend/info.txt?123bla…

Dabei ist „123blablabla“ der Parameter, getrennt von der eigentlichen Seite durch ein Fragezeichen „?“. So etwas macht nur dann Sinn, wenn der Parameter auch ausgewertet wird. So also muss man bei der Datei „info.txt“ davon ausgehen, dass sie nicht nur Blanktext enthält, sondern auch HTML-Tags und Skripte, die „123blablabla“ auswerten. Entweder ist der Parameter eine serielle Nummer zum Zählen des Zugriffs, vielleicht auch „Deine“ codierte Empfänger-eMail-Adresse, tja, oder sogar eine Download-Datei, eine automatische Weiterleitungsseite oder etwas ähnliches…

Wie Genumi bereits schrieb:

…HTML/JavaScript/ActiveX-Teil des Mailprogramms lassen sich
allerdings auch ohne Nachladen von Inhalten aus dem Internet
ausnutzen…

Die grössere Gefahr besteht aber beim Nachladen, wenn es sich um interaktive oder programmartige Inhalte handelt.

Das Beispiel von oben - die „scheinbar harmlose info.txt-Datei“ - lässt sich auch übertragen auf mit " http://www.heise.de/security/dienste/browsercheck/de… (aus der FAQ:135).
Dort fand ich BTW zum Thema HTML-Mail passend gerade noch einen Artikel, frisch von heute --> http://www.heise.de/newsticker/data/ju-26.10.03-000/

So, nun reicht’s

CU DannyFox64

danke !
Danke an die Experten !
Nun weiss ich so ungefähr, was da abgeht und was ich tun muss.

martin

Falls Du zusätzlich das Nachladen aus dem Internet unterbinden
willst:

• Personal Firewall installieren,

Möööp!

Jaja.

Kannst Du mir gerade erklären, wie man mittels
TCP/IP-Kenntnissen Outlook per Personal Firewall davon abhält,
mit der Internet-Explorer HTML-Rendering-Engine Dinge
anzuzueigen bzw. nachzuladen?

Vom Anzeigen kann man sie natürlich nicht abhalten, vom Nachladen aber sehr wohl. Outlook startet ja nicht wirklich den IE, sondern bindet ihn nur als Control ein. Dadurch gehen die Requests, die die PFW sieht, von Outlook aus. Wenn nun die PFW Outlook daran hindert, auf irgendwelche Ports außer SMTP, POP3 und vielleicht noch IMAP zuzugreifen, wird auch nichts nachgeladen. Das ist der Hauptgrund, warum ich trotz einer „echten“ Firewall auf dem Router Kerio auf den Arbeitsplatzrechnern habe.

genumi

Hallo Genumi

Wenn nun die
PFW Outlook daran hindert, auf irgendwelche Ports außer SMTP,
POP3 und vielleicht noch IMAP zuzugreifen, wird auch nichts
nachgeladen.

Finde ich irgendwie umständlich. Da verwende ich lieber ein vernünftiges Mailprogramm [tm], das ich so einstellen kann, dass mir gar kein HTML-Zeugs angezeigt und somit auch nichts nachgeladen wird.

CU
Peter

Wenn nun die
PFW Outlook daran hindert, auf irgendwelche Ports außer SMTP,
POP3 und vielleicht noch IMAP zuzugreifen, wird auch nichts
nachgeladen.

Finde ich irgendwie umständlich. Da verwende ich lieber ein
vernünftiges Mailprogramm [tm], das ich so einstellen kann,
dass mir gar kein HTML-Zeugs angezeigt und somit auch nichts
nachgeladen wird.

Das ist oft die schlauere Lösung. Wenn allerdings die Anwender umbedingt Outlook haben wollen, bleibt einem nicht viel anderes übrig

genumi