Technischer Hintergrund
Wie kann ein 0190-Dialer ohne meine Zustimmung und ohne mein Wissen auf meinen Rechner gelangen und eine Verbindung zu Wucherpreisen aufbauen? Der Internet Explorer von Microsoft läßt mangels Sicherheit Tür und Tor für Mißbrauch offen. Hier finden Sie eine Beschreibung der Technik, die benutzt wird, um den Benutzer zu hintergehen. Dies soll keine Anleitung sein, sondern eine Argumentationshilfe gegen Talkline, Inkasso und Anwälte.
Übersicht:
- Wie wird der Dialer eingebunden?
- Standardverhalten des Browsers
- Sicherheitslücke
- Anwender und Installation von Service-Packs
- Internetexplorer-Versionen
- Mißbrauch der Sicherheitslücke
- Feedback
Wie wird der Dialer eingebunden?
Der Dialer wurde in eine Cabinet-Datei (*.cab) gepackt. Dieses Format entspricht einem ZIP-File mit bestimmten Konventionen und bestimmtem Verhalten auf dem Client. Windows weiß, daß es zur Installation dient und gewisse Dateien zur Konfiguration der Installation enthält.
Diese Cabinet-Datei wird in einer HTML-Seite in einem <object>-Tag integriert. Wird eine solche Seite aufgerufen, so weiß der Browser, daß hier eine Applikation aufzurufen bzw. zu installieren ist, wenn sie auf dem Client noch nicht verfügbar ist.
Standardverhalten des Browsers
Die Installation von Cabinet-Dateien erfordert die Bestätigung des Benutzers, sofern er seine Internetoptionen nicht entsprechend verändert hat. Die relevante Option befindet sich unter:
- Internetoptionen
- Sicherheitseinstellungen
- Internet
- ActiveX Steuerelemente initialisieren und ausführen, die nicht sicher sind
- Auswahl "Deaktivieren" oder "Eingabeaufforderung"
Ist diese Auswahl eingestellt, so SOLLTE die CAB-Datei normalerweise nicht ohne vorherige Bestätigung des Users installiert werden.
Sicherheitslücke
Soviel zu Microsoft-Konzept und zum Soll-Verhalten des Browsers.
Es gibt jedoch eine Sicherheitslücke in einigen Explorer-Versionen, die es erlaubt, Daten auf den Rechnern der Internet-Nutzer zu manipulieren, ohne daß diese zustimmen müssen.
Diese Sicherheitslücke betrifft im Grunde so ziemlich alle Internetexplorer-Versionen, die nicht mit dem zweiten Service-Pack gepatcht wurden. D.h. die original ausgelieferten Versionen sowie die mit dem ersten Service-Pack gepatchten Versionen sind anfällig für diese Sicherheitslücke.
Anwender und Installation von Service-Packs
Von einem gewöhnichen Anwender ausgehend, der keine Probleme mit bestimmten Bugs eines Browsers hat, wird dieser nicht auf die Sicherheitslücke aufmerksam. Er weiß nichts von der Existenz der Service-Packs oder hat gar keinen Anlaß, sich die Arbeit zu machen, eins zu installieren. Daß jemand entsprechende Foren liest, kann von einem gewöhnlichen Anwender nicht erwartet werden.
Selbst wenn man sich in der Materie auskennt, stolpert man nur zufällig mal über dieses Thema. Entwickler sind darauf angewiesen, für die Programmierung von kompatiblem clientseitigen Code so viele verschiedene Versionen von Internetexplorern wie möglich auf ihre Rechner zu verteilen, weil pro Rechner nur eine Version installiert sein kann und sich die Versionen sehr unterschiedlich verhalten und Eigenheiten besitzen.
Microsoft schreibt zur Sicherheitslücke im
Microsoft Security Bulletin (MS00-042):
"Technical description:
The Active Setup Control allows .cab files to be downloaded to a user's computer as part of the installation process for software updates. However, the control has two flaws. First, it treats all Microsoft-signed .cab files as trusted, thereby allowing them to be installed without asking the user's approval. Second, it provides a method by which the caller can specify a download location on the user's hard drive. In combination, these two flaws would allow a malicious web site operator to download a Microsoft-signed .cab file as a means of overwriting a file on the user's machine. By overwriting system files, this could allow the malicious user to render the machine unusable.
It is important to note that there is no capability via this vulnerability to actually install the software that has been downloaded - the vulnerability only allows files to be overwritten, in a denial of service attack. System File Protection in Windows 2000 would prevent an attack like this one from being used to overwrite system files."
Microsoft erläutert die Folgen der Sicherheitslücke im folgenden Artikel (Quelle):
"MORE INFORMATION The Active Setup Control enables .cab files to be downloaded to a user's computer as part of the installation process for software updates. However, the control has the following two flaws:
- All Microsoft-signed .cab files are treated as trusted, which enables them to be installed without asking the user's approval.
- Provides a method by which the caller can specify a download location on the user's hard disk.
In combination, these two flaws could enable a malicious Web site operator to download a Microsoft-signed .cab file as a means of overwriting a file on a user's computer. By overwriting system files, this could enable the malicious user to make the computer unusable.
NOTE: There is no capability through this vulnerability to actually install the software that has been downloaded; the vulnerability only enables files to be overwritten in a denial of service attack. System File Protection in Windows 2000 would prevent an attack like this one from being used to overwrite system files."
Internetexplorer-Versionen
Laut Microsoft sind folgende Versionen davon betroffen,
denn Microsoft bietet zu diesen Versionen ein Patch
(Patch Available for "Active Setup Download" Vulnerability in Internet Explorer):
- Microsoft Internet Explorer 5.5 for Windows NT 4.0
- Microsoft Internet Explorer 5.01 for Windows NT 4.0, version SP 1
- Microsoft Internet Explorer 5.0 for Windows NT 4.0
- Microsoft Internet Explorer 4.01 for Windows NT 4.0, versions SP 1, SP 2
- Microsoft Internet Explorer 4.0 for Windows NT 4.0
- Microsoft Internet Explorer 5.5 for Windows 98 Second Edition
- Microsoft Internet Explorer 5.01 for Windows 98 Second Edition, version SP 1
- Microsoft Internet Explorer 5.5 for Windows 98
- Microsoft Internet Explorer 5.01 for Windows 98, version SP 1
- Microsoft Internet Explorer 5.0 for Windows 98
- Microsoft Internet Explorer 4.01 for Windows 98, version SP 2
- Microsoft Internet Explorer 5.5 for Windows 95
- Microsoft Internet Explorer 5.01 for Windows 95, version SP 1
- Microsoft Internet Explorer 5.0 for Windows 95
- Microsoft Internet Explorer 4.01 for Windows 95, versions SP 1, SP 2
- Microsoft Internet Explorer 4.0 for Windows 95
- Microsoft Internet Explorer 5.5 for Windows 2000
- Microsoft Internet Explorer 5.01 for Windows 2000, version SP 1
- Microsoft Windows 95 OEM Service Release, version 2.5"
Für einen Test, ob ein Browser diese Sicherheitslücke aufweist, kann ich folgende Seite wärmstens empfehlen:
http://home.arcor.de/starwalker22/VBSdemo.htm
Die Broswer lassen sich über den Punkt "Info" im Menu anhand der "Product ID" identifizieren (Quelle):
| Version | Product |
| 4.40.308 | Internet Explorer 1.0 (Plus!) |
| 4.40.520 | Internet Explorer 2.0 |
| 4.70.1155 | Internet Explorer 3.0 |
| 4.70.1158 | Internet Explorer 3.0 (OSR2) |
| 4.70.1215 | Internet Explorer 3.01 |
| 4.70.1300 | Internet Explorer 3.02 and 3.02a |
| 4.71.544 | Internet Explorer 4.0 Platform Preview 1.0 (PP1) |
| 4.71.1008.3 | Internet Explorer 4.0 Platform Preview 2.0 (PP2) |
| 4.71.1712.6 | Internet Explorer 4.0 |
| 4.72.2106.8 | Internet Explorer 4.01 |
| 4.72.3110.8 | Internet Explorer 4.01 Service Pack 1 (SP1) |
| 4.72.3612.1713 | Internet Explorer 4.01 Service Pack 2 (SP2) |
| 5.00.0518.10 | Internet Explorer 5 Developer Preview (Beta 1) |
| 5.00.0910.1309 | Internet Explorer 5 Beta (Beta 2) |
| 5.00.2014.0216 | Internet Explorer 5 |
| 5.00.2314.1003 | Internet Explorer 5 (Office 2000) |
| 5.00.2614.3500 | Internet Explorer 5 (Windows 98 Second Edition) |
| 5.00.2516.1900 | Internet Explorer 5.01 (Windows 2000 Beta 3, build 5.00.2031) |
| 5.00.2919.800 | Internet Explorer 5.01 (Windows 2000 RC1, build 5.00.2072) |
| 5.00.2919.3800 | Internet Explorer 5.01 (Windows 2000 RC2, build 5.00.2128) |
| 5.00.2919.6307 | Internet Explorer 5.01 (Also included with Office 2000 SR-1, but not installed by default) |
| 5.00.2920.0000 | Internet Explorer 5.01 (Windows 2000, build 5.00.2195) |
| 5.00.3103.1000 | Internet Explorer 5.01 SP1 (Windows 2000) |
| 5.00.3105.0106 | Internet Explorer 5.01 SP1 (Windows 95/98 and Windows NT 4.0) |
| 5.00.3314.2101 | Internet Explorer 5.01 SP2 (Windows 95/98 and Windows NT 4.0) |
| 5.00.3315.1000 | Internet Explorer 5.01 SP2 (Windows 2000) |
| 5.00.3502.1000 | Internet Explorer 5.01 SP3 (Windows 2000 SP3 only) |
| 5.50.3825.1300 | Internet Explorer 5.5 Developer Preview (Beta) |
| 5.50.4030.2400 | Internet Explorer 5.5 & Internet Tools Beta |
| 5.50.4134.0100 | Windows Me (4.90.3000) |
| 5.50.4134.0600 | Internet Explorer 5.5 |
| 5.50.4308.2900 | Internet Explorer 5.5 Advanced Security Privacy Beta |
| 5.50.4522.1800 | Internet Explorer 5.5 Service Pack 1 |
| 5.50.4807.2300 | Internet Explorer 5.5 Service Pack 2 |
| 6.00.2462.0000 | Internet Explorer 6 Public Preview (Beta) |
| 6.00.2479.0006 | Internet Explorer 6 Public Preview (Beta) Refresh |
| 6.00.2600.0000 | Internet Explorer 6 |
| 6.00.2800.1106 | Internet Explorer 6 Service Pack 1 (Windows XP SP1) |
Mißbrauch der Sicherheitslücke
Diese Sicherheitslücke wird von Tele Team Work ApS gezielt dazu genutzt, die Dialer auf den Rechnern der Anwender ohne deren Wissen zu installieren und auch ohne Wissen des Anwenders die bestehende Modem-Internet-Verbindung durch eine 0190-Verbindung zu ersetzen, für die später eine teure Rechnung gestellt wird.
Der User wird auf ohne es zu ahnen direkt auf eine Seite gelenkt, die den oben erläuterte <object>-Tag enthält. Bei Browsern mit der genannten Sicherheitslücke ist geschieht dann ohne irgendeine Interaktion mit dem User folgendes:
Die CAB-Datei wird zur Installation heruntergeladen.
Der Dialer (*.exe) wird in ein temporäres Verzeichnis installiert.
Der Dialer wird sofort ausgeführt.
Die bestehende Modem-Internetverbindung wird unauffällig gekappt, ohne daß der Benutzer es merkt oder möchte, und der Dialer stellt automatisch eine Verbindung zu einer 0190-Nummer her.
Der User ist noch damit beschäftigt, die ungewünschten Fenster alle zu schließen, und surft danach weiter im Internet. Er ahnt nicht, daß er über eine teure 0190-Nummer eingewählt ist.
Wenn der User Pech hat, wurde der Dialer für die Standardeinwahl ins Internet installiert. Damit wird bei jeder erneuten Einwahl eine 0190-Verbindung hergestellt. Ob dies bei Tele Team Work AsP der Fall ist, kann ich nicht sagen.