Eine Sicherheitslücke in Google Mail soll es Angreifern ermöglichen, eigene Filter im Postfach eines Opfer zu definieren und so etwa bestimmte empfangene Mails auf die Adresse des Angreifers umzulenken. Aktuell gibt es mehrere Berichte über erfolgreiche Attacken, bei denen die Lücke missbraucht wurde, um die Kontrolle über die Verwaltung der Domains von Opfern zu erhalten.

Im Wesentlichen soll die Lücke auf einer Cross-Site-Request-Forgery-Schwachstelle (CSRF) beruhen, bei der eine präparierte Webseite den Filter in Google Mail setzt. Dazu muss das Opfer allerdings ein Browserfenster mit Google Mail geöffnet und sich dort authentifiziert haben sowie in einem zweiten Browserfenster die manipulierte Webseite aufrufen.

Ist der Filter gesetzt, muss der Angreifer auf den Seiten des Domain-Verwalters die Funktion zum Rücksetzen des Passwortes für das Management der Domain aufrufen und bekommt anschließend per Mail die eigentlich für das Opfer vorgesehenen Instruktionen zum Erhalt eines neuen Passworts. Damit ist er in der Lage, das Konto und somit die Kontrolle über die Domain zu übernehmen und diese zu transferieren oder freizugeben.

Eine sehr ähnliche Lücke gab es Mitte 2007 bei Google Mail, die Berichten zufolge ebenfalls zum Umleiten von Mail per Filter benutzt wurde. Allerdings ging man bislang davon aus, dass Google die Lücke seinerzeit beseitigt hatte. Offenbar ist dem nicht so, denn Google verwendet Analysen zufolge immer noch eine sitzungsbezogene statt einer request-bezogenen Authentifizierung. Letztere böte nämlich Schutz vor CRSR-Angriffen, da ein Angreifer dabei eine bestimmte ID für einen gültigen HTTP-Request erraten muss.

Immerhin können Anwender sich mit dem Plug-in NoScript selbst vor CSRF-Angriffen schützen. Dies versucht verdächtige Anfragen zu erkennen und zu blockieren. Daneben kann NoScript auch vor Cross-Site-Scripting-Attacken schützen. In den Genuss dieses Schutzes kommen derzeit jedoch nur Anwender eines Mozilla-basierten Browsers wie Firefox.

Quelle: Heise.de