Operation EmailThief利用Zimbra XSS 0 day漏洞竊取郵件內(nèi)容�����。
Zimbra是一個(gè)開源郵件平臺(tái),常被企業(yè)用作Microsoft Exchange外的選項(xiàng)�。Volexity研究人員在Zimbra郵件客戶端中發(fā)現(xiàn)一個(gè)XSS 0 day漏洞,攻擊者利用該漏洞可以竊取cookie信息���,以實(shí)現(xiàn)對(duì)郵箱內(nèi)容的持續(xù)訪問��、利用被黑的郵箱賬號(hào)來發(fā)送釣魚消息����、下載其他惡意軟件。
Operation EmailThief攻擊
攻擊活動(dòng)可以分為2個(gè)階段:第一個(gè)階段負(fù)責(zé)偵查內(nèi)容;第二個(gè)階段引誘目標(biāo)來點(diǎn)擊惡意攻擊者偽造的鏈接�。攻擊成功的話,受害者會(huì)從web瀏覽器登入Zimbra web郵箱客戶端時(shí)訪問攻擊者發(fā)送的鏈接�。該鏈接也可以從應(yīng)用來啟動(dòng),比如通過Thunderbird或Outlook����。漏洞利用成功后,攻擊者可以在用戶的Zimbra會(huì)話環(huán)境中運(yùn)行任意JS代碼��。整個(gè)攻擊流程如圖1所示:
圖1 攻擊流程
魚叉式釣魚攻擊活動(dòng)
研究人員在2021年12月發(fā)現(xiàn)一個(gè)為期2周的魚叉式釣魚攻擊活動(dòng)����,在攻擊中攻擊者使用了74個(gè)位于的outlook.com郵箱地址。郵箱地址的格式一般為
偵查階段
攻擊最開始是以2021年12月14日發(fā)送的一個(gè)魚叉式釣魚郵件開始的���,通過在郵件中嵌入遠(yuǎn)程圖像來誘使用戶查看或打開郵件�。郵件中除了遠(yuǎn)程圖像外不含有其他內(nèi)容����,郵件主題一般是非定向垃圾郵件相關(guān)的通用主題��。比如:邀請(qǐng)函�、機(jī)票退款��、警告等�����。
每個(gè)郵件中的圖像鏈接都是唯一的�����。目的可能是測試郵件地址的有效性�����,并確定哪些地址更有可能打開釣魚郵件消息�����。但是Volexity研究人員并沒有發(fā)現(xiàn)偵查郵件和隨后魚叉式釣魚攻擊郵件的關(guān)聯(lián)�����。遠(yuǎn)程圖像URL地址如下:
hxxp://fireclaws.spiritfield[.]ga/[filename].jpeg?[integer]
hxxp://feralrage.spiritfield[.]ga/[filename].jpeg?[integer]
hxxp://oaksage.spiritfield[.]ga/[filename].jpeg?[integer]
hxxp://claygolem.spiritfield[.]ga/[filename].jpeg?[integer]
每個(gè)URL后面的數(shù)是用來識(shí)別特定的受害者�。每個(gè)子域名對(duì)每個(gè)郵件是唯一的。
惡意郵件
在攻擊的第二個(gè)階段����,研究人員發(fā)現(xiàn)了多起魚叉式釣魚攻擊活動(dòng)。在這些攻擊活動(dòng)中�����,攻擊者嵌入鏈接到攻擊者控制的基礎(chǔ)設(shè)施���。在攻擊活動(dòng)中���,使用了2類不同的主體,第一個(gè)是來自不同組織的面試邀請(qǐng)�����,第二個(gè)主體是一個(gè)慈善拍賣的邀請(qǐng)��。
圖2 釣魚郵件示例1
圖3 使用拍賣主體的郵件主題
隨后的攻擊中使用類似的URI模式���,但是子域名是固定的����。格式如下:
hxxps://update.secretstep[.]tk/[filename].jpeg?u=[integer]&t=[second_integer]
其中第二個(gè)整數(shù)表示目標(biāo)組織。點(diǎn)擊惡意鏈接后�����,攻擊者基礎(chǔ)設(shè)施就會(huì)在目標(biāo)組織的Zimbra webmail主機(jī)上嘗試重定向�����,如果用戶登錄了�,那么利用該漏洞就允許攻擊者在用戶登錄的Zimbra 會(huì)話中加載JS代碼。
攻擊者的JS代碼包括:
- 在用戶的收件箱和發(fā)件箱中的每個(gè)郵件中循環(huán);
- 對(duì)每個(gè)郵件�����,通過HTTP POST請(qǐng)求發(fā)送郵件主體和附件到配置的回調(diào)地址(mail.bruising-intellect[.]ml)��。
從受害者收件箱中提取郵件的循環(huán)如下圖所示:
圖4 收件箱郵件竊取代碼
攻擊成功的效果就是攻擊者可以竊取用戶收件箱的內(nèi)容�����。攻擊者需要請(qǐng)求一個(gè)含有CSRF-Token的頁面來進(jìn)行隨后的竊取郵箱數(shù)據(jù)的內(nèi)容��。成功竊取郵件的POST數(shù)據(jù)格式如下所示:
圖5 JS發(fā)送的POST數(shù)據(jù)示例
漏洞影響和補(bǔ)丁
截止目前����,該漏洞尚未分配CVE編號(hào),也沒有針對(duì)漏洞利用的補(bǔ)丁發(fā)布����。Volexity在最新的Zimbra 8.8.15版本上測試發(fā)現(xiàn)該版本受到影響,因此����,研究人員建議用戶盡快升級(jí)到9.0.0版本。
本文翻譯自:https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/
網(wǎng)站欄目:ZimbraXSS0day漏洞利用可竊取郵件內(nèi)容
標(biāo)題網(wǎng)址:
http://uogjgqi.cn/article/dpjeech.html
