Certified Security Operations Center GmbH

25. Januar 2019

KW4: CSOC-Event der Woche – Gefälschte vCard Dateien

KW4: CSOC-Event der Woche  – Gefälschte vCard Dateien

In dieser Woche berichten wir über die „elektronische Visitenkarte“ und wie sie manipuliert werden kann, um Schadcode auf ein System einzuschleusen.

vCards sind Dateien, welche Kontaktdaten jeglicher Art enthalten können. Ein User kann die Inhalte einer vCard per Mausklick zu seinen bestehenden Kontakten z.B. in einer E-Mail Software hinzufügen. Dateien des Typs .vcf lassen sich mithilfe eines Texteditors öffnen und beliebig bearbeiten. Diese Möglichkeit eröffnet einem potenziellen Angreifer einen Angriffsvektor, welcher durch seinen aktuell noch niedrigen Bekanntheitsgrad, oft nicht als solcher erkannt wird.

Die Bearbeitung durch einen Texteditor ermöglicht den Austausch eines möglicherweise enthaltenen Links zu einer Website, gegen einen Aufruf zur Ausführung einer anbei liegenden Datei. Diese kann Schadcode in jeglicher Form enthalten, welcher ohne einen für den User sichtbaren Hinweis und mit seinen aktuellen Rechten ausgeführt wird.

Zwar ist bei dieser Angriffsmethode eine Interaktion des vermeintlichen Opfers notwendig, jedoch werden .vcf-Dateien nur selten als mögliche Bedrohung anerkannt und stellen somit ein erhöhtes Risiko dar. Wir empfehlen daher stets, den Empfang einer vCard auf Plausibilität zu prüfen. Sollten sich dabei Unklarheiten ergeben, ist es ratsam, den Absender zu kontaktieren und zu klären, ob die empfangene vCard tatsächlich vom vermeintlichen Absender stammt.

Technische Beschreibung gefälschter vCard Dateien:

A zero-day vulnerability has been discovered and reported in the Microsoft’s Windows operating system that, under a certain scenario, could allow a remote attacker to execute arbitrary code on Windows machine.

error:
Unsere Website nutzt Cookies
Wir nutzen ausschließlich funktionale Cookies, die für den grundlegenden Betrieb unserer Website unerlässlich sind. Bitte klicken Sie auf 'Erforderliche Cookies erlauben', um die Cookies zu aktivieren, die für die einwandfreie Funktion und Nutzung der Webseite unbedingt notwendig sind. Weitere Informationen zur Verwendung von Cookies finden Sie in unserer Datenschutzerklärung.
Erforderliche Cookies erlauben
Ablehnen