Nach dem Debakel eines DNS Servers von Swisscom-Mobile, welcher einen vollständigen Zonentransfer erlaubte (Siehe Post “DNS Zonentransfer swisscom-mobile.ch und sf.tv”), fand ich heute Morgen ein weiteres Problem:
Scheinbar gibt es eine XSS-(Cross-Sit-Scripting) Lücke auf www.swisscom.com. Die Lücke findet sich im ASP-Script “RedirectWebLogLinks”, wo man eine beliebige Ziel Adresse eingeben kann. Das Script verweist den Besucher dann auf die entsprechende Webadresse.
Beispiel:
http://www.swisscom.com/SCMCMS/Scripts/RedirectWebLogLinks.aspx?dest=http://www.google.ch
Im obigen Beispiel wird man zu www.google.ch verwiesen, obwohl das ASP-Script scheinbar nur für die Seiten www.swisscom-fixnet.ch, www.swisscom-mobile.ch und www.swisscom.com verwedet wird.
Viele Fragen sich jetzt wahrscheinlich: “Schön und gut, aber was ist jetzt das Problem, wenn man mittels des ASP-Scripts auf fremde Seiten verwiesen werden kann?”. Die Antwort ist relativ plausibel: Das Script kann von Spammer oder Phisher benutzt werden, um auf schädliche Webseiten zu verweisen. Der Benutzer sieht dann im Link die Webseite www.swisscom.com, welche als vertrauenswürdig gilt.
Beispiel:
Ein User bekommt ein Mail mit HTML Code (was heute leider oft verwendet wird):
What makes Viagra the # 1 potency = pill?
* Viagra ensures Better Performance, Improved = Erection Quality and enhanced Hardness.
* No tablet has been proven to work better or = faster for ED than Viagra.
* Success rate is phenomenal: VIAGRA works = for 4 out of 5 men.
* 16 million men worldwide have chosen Viagra = to treat ED.
* Every second 9 pills are bought. =
* Viagra is so safe that it can be taken once = daily.
* Viagra is covered by more health plans than = other oral ED treatments.
Buy Viagra Now!
Hinter “Buy Viagra Now” versteckt sich normalerweise ein Link zu einer Website der Spammer wie in diesem Falle http://kfytouonone.com (Bewertung von Siteadvisor).
Viele Firmen verwenden eine URL Blacklist (z.B. www.surbl.org, www.uribl.com) welche Mails mit Links auf bekannte Spammer Webseiten heraus filtert. Genau hier liegt nun die Gefahr: Ein Spammer kann das ASP-Script auf swisscom.com verwenden um URIBL Filter zu umgehen indem er einfach folgendes macht:
http://www.swisscom.com/SCMCMS/Scripts/RedirectWebLogLinks.aspx?dest=http://kfytouonone.com
Die folgend der Benutzung dieses ASP-Scripts durch dritte (z.B. Spammer) sind Imageschaden, Schlechte Website-Bewertung (z.B. durch Siteadvisor) oder sogar der Eintrag auf URIBLs was verheerende Auswirkungen haben kann (Da ja z.B. fast jede Signatur der Swisscom-Mitarbeitern einen Link zu www.swisscom.com enthält. Folge: Die emails werden aufgrund des URIBL-Listings blockiert.)
Eine weit grössere Gefahr als die Benutzung des Scripts durch Spammer ist, wenn die Lücke von Phisher oder Datensammler benützt wird. So kann ein Phisher z.B. emails verschicken wo auf eine Phishing site verwiesen wird um Kunden-Logins zu ergaunern. Der Benutzer sieht dann im Email den Link www.swisscom.com/und/so/weiter und denkt sich dabei nichts schlechtes.
Fazit: XSS-Lücken sind eine ernst zu nehmende Gefahr für ein Unternehmen und dessen Image!
