KW4: CSOC-Event der Woche  – Gefälschte vCard Dateien

In dieser Woche berichten wir über die „elektronische Visitenkarte“ und wie sie manipuliert werden kann, um Schadcode auf ein System einzuschleusen.

vCards sind Dateien, welche Kontaktdaten jeglicher Art enthalten können. Ein User kann die Inhalte einer vCard per Mausklick zu seinen bestehenden Kontakten z.B. in einer E-Mail Software hinzufügen. Dateien des Typs .vcf lassen sich mithilfe eines Texteditors öffnen und beliebig bearbeiten. Diese Möglichkeit eröffnet einem potenziellen Angreifer einen Angriffsvektor, welcher durch seinen aktuell noch niedrigen Bekanntheitsgrad, oft nicht als solcher erkannt wird.

Die Bearbeitung durch einen Texteditor ermöglicht den Austausch eines möglicherweise enthaltenen Links zu einer Website, gegen einen Aufruf zur Ausführung einer anbei liegenden Datei. Diese kann Schadcode in jeglicher Form enthalten, welcher ohne einen für den User sichtbaren Hinweis und mit seinen aktuellen Rechten ausgeführt wird.

Zwar ist bei dieser Angriffsmethode eine Interaktion des vermeintlichen Opfers notwendig, jedoch werden .vcf-Dateien nur selten als mögliche Bedrohung anerkannt und stellen somit ein erhöhtes Risiko dar. Wir empfehlen daher stets, den Empfang einer vCard auf Plausibilität zu prüfen. Sollten sich dabei Unklarheiten ergeben, ist es ratsam, den Absender zu kontaktieren und zu klären, ob die empfangene vCard tatsächlich vom vermeintlichen Absender stammt.

Technische Beschreibung gefälschter vCard Dateien:

A zero-day vulnerability has been discovered and reported in the Microsoft’s Windows operating system that, under a certain scenario, could allow a remote attacker to execute arbitrary code on Windows machine.