Zimbra XSS 0 day漏洞利用可竊取郵件內容

ang010ela
該漏洞尚未分配CVE編號,也沒有針對漏洞利用的補丁發(fā)布。Volexity在最新的Zimbra 8.8.15版本上測試發(fā)現該版本受到影響,因此,研究人員建議用戶盡快升級到9.0.0版本。

Operation EmailThief利用Zimbra XSS 0 day漏洞竊取郵件內容。

Zimbra是一個開源郵件平臺,常被企業(yè)用作Microsoft Exchange外的選項。Volexity研究人員在Zimbra郵件客戶端中發(fā)現一個XSS 0 day漏洞,攻擊者利用該漏洞可以竊取cookie信息,以實現對郵箱內容的持續(xù)訪問、利用被黑的郵箱賬號來發(fā)送釣魚消息、下載其他惡意軟件。

Operation EmailThief攻擊

攻擊活動可以分為2個階段:第一個階段負責偵查內容;第二個階段引誘目標來點擊惡意攻擊者偽造的鏈接。攻擊成功的話,受害者會從web瀏覽器登入Zimbra web郵箱客戶端時訪問攻擊者發(fā)送的鏈接。該鏈接也可以從應用來啟動,比如通過Thunderbird或Outlook。漏洞利用成功后,攻擊者可以在用戶的Zimbra會話環(huán)境中運行任意JS代碼。整個攻擊流程如圖1所示:

2345截圖20211028093243.png

圖1攻擊流程

魚叉式釣魚攻擊活動

研究人員在2021年12月發(fā)現一個為期2周的魚叉式釣魚攻擊活動,在攻擊中攻擊者使用了74個位于的outlook.com郵箱地址。郵箱地址的格式一般為

偵查階段

攻擊最開始是以2021年12月14日發(fā)送的一個魚叉式釣魚郵件開始的,通過在郵件中嵌入遠程圖像來誘使用戶查看或打開郵件。郵件中除了遠程圖像外不含有其他內容,郵件主題一般是非定向垃圾郵件相關的通用主題。比如:邀請函、機票退款、警告等。

每個郵件中的圖像鏈接都是唯一的。目的可能是測試郵件地址的有效性,并確定哪些地址更有可能打開釣魚郵件消息。但是Volexity研究人員并沒有發(fā)現偵查郵件和隨后魚叉式釣魚攻擊郵件的關聯。遠程圖像URL地址如下:

hxxp://fireclaws.spiritfield[.]ga/[filename].jpeg?[integer]

hxxp://feralrage.spiritfield[.]ga/[filename].jpeg?[integer]

hxxp://oaksage.spiritfield[.]ga/[filename].jpeg?[integer]

hxxp://claygolem.spiritfield[.]ga/[filename].jpeg?[integer]

每個URL后面的數是用來識別特定的受害者。每個子域名對每個郵件是唯一的。

惡意郵件

在攻擊的第二個階段,研究人員發(fā)現了多起魚叉式釣魚攻擊活動。在這些攻擊活動中,攻擊者嵌入鏈接到攻擊者控制的基礎設施。在攻擊活動中,使用了2類不同的主體,第一個是來自不同組織的面試邀請,第二個主體是一個慈善拍賣的邀請。

2345截圖20211028093243.png

圖2釣魚郵件示例1

2345截圖20211028093243.png

圖3使用拍賣主體的郵件主題

隨后的攻擊中使用類似的URI模式,但是子域名是固定的。格式如下:

hxxps://update.secretstep[.]tk/[filename].jpeg?u=[integer]&t=[second_integer]

其中第二個整數表示目標組織。點擊惡意鏈接后,攻擊者基礎設施就會在目標組織的Zimbra webmail主機上嘗試重定向,如果用戶登錄了,那么利用該漏洞就允許攻擊者在用戶登錄的Zimbra會話中加載JS代碼。

攻擊者的JS代碼包括:

在用戶的收件箱和發(fā)件箱中的每個郵件中循環(huán);

對每個郵件,通過HTTP POST請求發(fā)送郵件主體和附件到配置的回調地址(mail.bruising-intellect[.]ml)。

從受害者收件箱中提取郵件的循環(huán)如下圖所示:

2345截圖20211028093243.png

圖4收件箱郵件竊取代碼

攻擊成功的效果就是攻擊者可以竊取用戶收件箱的內容。攻擊者需要請求一個含有CSRF-Token的頁面來進行隨后的竊取郵箱數據的內容。成功竊取郵件的POST數據格式如下所示:

2345截圖20211028093243.png

圖5 JS發(fā)送的POST數據示例

漏洞影響和補丁

截止目前,該漏洞尚未分配CVE編號,也沒有針對漏洞利用的補丁發(fā)布。Volexity在最新的Zimbra 8.8.15版本上測試發(fā)現該版本受到影響,因此,研究人員建議用戶盡快升級到9.0.0版本。

本文翻譯自:https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論