Der Grund: Microsoft bietet die Möglichkeit, HTML und Skriptsprachen in Nachrichten einzubauen. Das macht die Mails bunter – und gefährlicher.

Zwar sperrt Microsoft aus Sicherheit-sgründen standardmäßig EXE-Dateien in Mails; es gelingt der Firma jedoch längst nicht, alle Sicherheitslücken zu stopfen. Das Hinterhältige: In einigen Fällen muss der User die Mail gar nicht öffnen. Selbst im Vorschau-Modus wird schon ein Skript aktiv.

Der Angriff: Das wollen wir live erleben. Wir benutzen einen weiteren Exploit. Bei unserem Opfer wird sich das Programm „ftp.exe“ öffnen – theoretisch könnte der Exploit auch schädliche Codes ausführen.

Wir legen eine HTML-Mail an. In deren Quelltext betten wir wiederum einen XML-Code ein. Dazu müssen wir nicht einmal HTML bearbeiten: Wir benutzen ein Perl-Programm (Perl ist eine Skript-Sprache, die im Internet hauptsächlich zur Datenbank-Abfrage genutzt wird) aus dem Internet, modifizieren dieses leicht und erzeugen so beliebig viele E-Mail-Bomben.

Es klappt: Beim betroffenen Kollegen öffnet sich wie von Geisterhand das kleine FTP-Tool von Windows. Dank des Perl-Skripts funktioniert sogar der Versand automatisch, so dass sich ganze E-Mail-Lawinen auslösen lassen.

Die Abwehr: Nutzen Sie einen anderen Mail-Client, etwa Pegasus Mail. Wollen Sie auf Outlook nicht verzichten, schalten Sie die Vorschau ab. Das geht in den meisten Outlook-Versionen mit »Ansicht | Vorschau-Fenster«; bei Outlook 2003 mit »Ansicht | Lesebereich | Aus«.