Große Firmen wie beispielsweise Google und Microsoft bezahlen eine Menge Geld, um dafür zu sorgen, dass die veröffentlichte Software sicher ist und es kriminelle so schwer wie nur irgend möglich haben, an die Benutzerdaten oder die Datenbank einer Website zu gelangen. In manchen Fällen locken die Firmen sogar mit Belohnungen, wenn eine Sicherheitslücke nicht veröffentlicht, sondern direkt dem Unternehmen gemeldet wird. Besonders erschreckend ist es dann jedoch, wenn eine Firma wie Microsoft einen gut gemeinten Rat in Form einer E-Mail ignoriert und als vernachlässigbar eingestuft. Mithilfe eines geklauten Cookies ist es nämlich nach wie vor möglich, sich ohne Kontoinformationen mit einem fremden E-Mail-Konto bei Hotmail bzw. Outlook verbinden zu können.
Durch Sicherheitslücken wie diese wird es Angreifern beispielsweise ermöglicht, Kontrolle über ein fremdes Konto zu erlangen. Dafür muss der Eindringling lediglich einen Cookie der aktuellen Sitzung des Opfers speichern und in seinem Browser laden. Bei einem Cookie handelt es sich um eine auf dem Computer abgelegte Textinformation, die beispielsweise für die Identifikation des Benutzers verwendet wird. In einem Cookie werden Informationen über die persönlichen Einstellungen gespeichert, die ein Benutzer auf einer Webseite vorgenommen hat. Doch auch Login-Informationen werden unter Umständen in einem Cookie gespeichert, um den erneuten Login für den Benutzer so einfach und angenehm wie möglich zu machen. Auch Internetseiten wie Facebook speichern einem Cookie auf dem Computer, wodurch man beim Aufrufen der Internetseite sofort mit seinem Konto verbunden wird. Werden Cookies richtig eingesetzt, entsteht dadurch nur ein geringes Sicherheitsrisiko, da nach dem Ausloggen der aktuelle Login-Cookie für ungültig erklärt wird und somit für Angreifer nicht mehr zu gebrauchen ist.
Im Falle von Hotmail und Outlook jedoch wird der Cookie nicht für ungültig erklärt und ein Angreifer kann sich diesen Umstand zu Nutze machen, um sich dadurch Zugriff auf das fremde Konto zu verschaffen. Besonders problematisch ist die Tatsache, dass der Cookie selbst nach einem Logout nicht für ungültig erklärt wird und nach wie vor von dem Angreifer verwendet werden kann. Um einen fremden Cookie in einen anderen Browser einlesen zu können, sind nur wenige Mausklicks erforderlich und selbst Benutzer mit wenig technischem Know-how können auf diese Art und Weise Zugriff auf fremde Konten erlangen. Vorausgesetzt, sie haben physischen Zugriff auf die Maschine und einen Datenträger zur Hand, auf dem der Cookie gespeichert werden kann.
Natürlich kann auch Schadsoftware Cookies auslesen und an den kriminellen Entwickler übertragen, ohne dass der Benutzer etwas davon merkt. Besonders kritisch wird es auch, wenn andere Sicherheitslücken auf der Webseite auftreten und Angreifer die Chance haben, Cookies direkt von dem Computer des Opfers auslesen zu können, bloß weil dieser eine Webseite aufgerufen hat. Um das Sicherheitsproblem bei Outlook und Hotmail so gering wie möglich zu halten, können aktuell nur vergleichsweise radikale Maßnahmen ergriffen werden. So besteht eine Option beispielsweise darin, Cookies nur temporär zu erlauben und nach dem Schließen des Browsers automatisch löschen zu lassen. Alternativ können Cookies auch komplett deaktiviert werden, was jedoch bei vielen Internetseiten zu massiven Problemen führen kann. Daher ist diese Option wohl nur für die wenigsten interessant. Eine "etwas" weniger radikale und sicherlich auch für normale Nutzer interessante Alternative wäre der Umstieg auf ein E-Mail-Programm. Das mit dem Cookie-Klau einhergehende Sicherheitsrisiko kann nämlich auch dadurch minimiert werden, indem man nicht über den Browser auf seine E-Mails zugreift, sondern dafür einen E-Mail-Clienten wie beispielsweise Thunderbird verwendet. Diese Programme speichern keine Cookies auf dem Computer und sind diesbezüglich relativ sicher.
Erstaunlich ist auch die Tatsache, dass Microsoft nach einem freundlichen Hinweis auf das Problem eine äußerst ungewöhnliche Reaktion gezeigt hat: Die Sicherheitslücke ist bekannt und sei nicht weiter tragisch, da alle Informationen (einschließlich des Cookies) verschlüsselt übertragen werden und man nicht das Passwort des gekaperten Kontos ändern könne, da dies einen erneuten Login vorausetzt. Aber wieso sollte ein Angreifer das Passwort ändern wollen, wenn er bereits Vollzugriff auf alle Nachrichten und Funktionen von Outlook und Hotmail hat?
Lesen Sie dazu auch folgenden englischen Beitrag:
http://thehackernews.com/2012/12/hotmail-and-outlook-cookie-handling.html