Sicherheit
Router über E-Mail angreifbar
von
Thorsten
Eggeling - 30.11.2012
Ein Sicherheitsexperte warnt vor einer CSRF-Lücke in mehreren Routern. Angreifer können über eine HTML-E-Mail Angriffe ausführen und darüber unter anderem DNS-Anfragen umlenken.
Der Sicherheitsexperte Bogdan Calin berichtet in seinem Blog von einer neu entdeckten Sicherheitslücke in mehreren Routern von Arcor, Asus und TP-Link. Anhand einer von ihm speziell präparierten Test-E-Mail führte er vor, wie leicht es ist, die betroffenen Router aus der Ferne zu konfigurieren.
Der Angriff läuft in zwei Stufen ab. Die E-Mail enthält ein Bild, welches das Interesse des Empfängers wecken soll. Das Bild wird vom Server des Angreifers geladen, wenn der Empfänger die Anzeige von Bildern im E-Mail-Programm aktiviert. Diese Technik ist nicht neu und allgemein als „Web Bug“ bekannt. Der Absender erfährt bei der Analyse der Log-Dateien seines Servers, von welcher IP-Adresse aus die E-Mails geöffnet wurden. Neben dem Bild enthält die E-Mail auch mehrere für den Empfänger unsichtbare iFrames nach dem Muster
Darüber wird eine Anmeldung beim Router mit einem Standard-Passwort versucht und die Konfiguration des Routers geändert. Der Angreifer kann so die DNS-Einstellungen manipulieren und beliebige Webseiten auf eigene Inhalte umleiten. Wenn der Nutzer dann die Seite seiner Bank oder eines Online-Dienstes aufruft, wird ihm die Phishing-Seite des Angreifers präsentiert.
Bei der Sicherheitslücke handelt es sich um ein Cross-Site Request Forgery (CSRF oder XSRF), auf deutsch "Website-übergreifende Anfragenfälschung". Dabei wird ohne Wissen des Nutzers über eine URL eine Anforderung an eine Webanwendung abgesetzt. Im beschriebenen Fall an die Web-Oberfläche des Routers. Damit das funktioniert, müssen jedoch einige Voraussetzungen erfüllt sein. Der Nutzer muss entweder gerade bei der Webanwendung angemeldet sein oder ein Standard-Passwort verwenden. Außerdem muss das E-Mail-Programm oder bei Webmail der Browser die Anfrage auch an die Webanwendung weiterleiten. Dass dieses Verfahren sich erfolgreich für Angriffe nutzen lässt, beweist aber ein Vorfall im Oktober, bei dem vor allem Router in Brasilien betroffen waren.
Bogdan Calin hat seine Testmails mit den Standardclients von iOS und Mac OS X geöffnet. Diese laden Bilder und iFrames in HTML-Mails ohne weitere Nachfragen. Betroffen sind nachweislich Router wie Asus RT-N16, Asus RT-N56U, TP-Links TL-WR841N und EasyBox A600 von Arcor. Möglicherweise sind aber auch noch andere Router anfällig.
So schützen Sie sich
Angriffe lassen sich leicht verhindern, indem Sie ein individuelles Router-Passwort vergeben. Zudem sollten Sie Webanwendungen - vor allem beim Online-Banking - immer in einer eigenen Browsersitzung und nicht in einem anderen Tab starten, sich nach der Verwendung abmelden und den Browser neu starten.
Angriffe lassen sich leicht verhindern, indem Sie ein individuelles Router-Passwort vergeben. Zudem sollten Sie Webanwendungen - vor allem beim Online-Banking - immer in einer eigenen Browsersitzung und nicht in einem anderen Tab starten, sich nach der Verwendung abmelden und den Browser neu starten.
HTML-E-Mails unbekannter Herkunft sollten Sie immer in der Text- oder einer vereinfachten HTML-Ansicht lesen. Die meisten E-Mail-Programme und Webmailer zeigen Bilder in HTML-Nachrichten ohnehin erst nach einer expliziten Bestätigung durch den Benutzer an. iOS-Nutzern ist zu empfehlen, in den Einstellungen unter "Mails, Kontakte, Kalender" die Option "Entfernte Bilder laden" auf "Aus" zu setzen.
