Operation EmailThief利用Zimbra XSS 0 day漏洞竊取郵件內(nèi)容。

Zimbra是一個(gè)開(kāi)源郵件平臺(tái)，常被企業(yè)用作Microsoft Exchange外的選項(xiàng)。Volexity研究人員在Zimbra郵件客戶端中發(fā)現(xiàn)一個(gè)XSS 0 day漏洞，攻擊者利用該漏洞可以竊取cookie信息，以實(shí)現(xiàn)對(duì)郵箱內(nèi)容的持續(xù)訪問(wèn)、利用被黑的郵箱賬號(hào)來(lái)發(fā)送釣魚(yú)消息、下載其他惡意軟件。

Operation EmailThief攻擊

攻擊活動(dòng)可以分為2個(gè)階段：第一個(gè)階段負(fù)責(zé)偵查內(nèi)容;第二個(gè)階段引誘目標(biāo)來(lái)點(diǎn)擊惡意攻擊者偽造的鏈接。攻擊成功的話，受害者會(huì)從web瀏覽器登入Zimbra web郵箱客戶端時(shí)訪問(wèn)攻擊者發(fā)送的鏈接。該鏈接也可以從應(yīng)用來(lái)啟動(dòng)，比如通過(guò)Thunderbird或Outlook。漏洞利用成功后，攻擊者可以在用戶的Zimbra會(huì)話環(huán)境中運(yùn)行任意JS代碼。整個(gè)攻擊流程如圖1所示：

圖1 攻擊流程

魚(yú)叉式釣魚(yú)攻擊活動(dòng)

研究人員在2021年12月發(fā)現(xiàn)一個(gè)為期2周的魚(yú)叉式釣魚(yú)攻擊活動(dòng)，在攻擊中攻擊者使用了74個(gè)位于的outlook.com郵箱地址。郵箱地址的格式一般為

偵查階段

攻擊最開(kāi)始是以2021年12月14日發(fā)送的一個(gè)魚(yú)叉式釣魚(yú)郵件開(kāi)始的，通過(guò)在郵件中嵌入遠(yuǎn)程圖像來(lái)誘使用戶查看或打開(kāi)郵件。郵件中除了遠(yuǎn)程圖像外不含有其他內(nèi)容，郵件主題一般是非定向垃圾郵件相關(guān)的通用主題。比如：邀請(qǐng)函、機(jī)票退款、警告等。

每個(gè)郵件中的圖像鏈接都是唯一的。目的可能是測(cè)試郵件地址的有效性，并確定哪些地址更有可能打開(kāi)釣魚(yú)郵件消息。但是Volexity研究人員并沒(méi)有發(fā)現(xiàn)偵查郵件和隨后魚(yú)叉式釣魚(yú)攻擊郵件的關(guān)聯(lián)。遠(yuǎn)程圖像URL地址如下：

hxxp://fireclaws.spiritfield[.]ga/[filename].jpeg?[integer]
hxxp://feralrage.spiritfield[.]ga/[filename].jpeg?[integer]
hxxp://oaksage.spiritfield[.]ga/[filename].jpeg?[integer]
hxxp://claygolem.spiritfield[.]ga/[filename].jpeg?[integer]

每個(gè)URL后面的數(shù)是用來(lái)識(shí)別特定的受害者。每個(gè)子域名對(duì)每個(gè)郵件是唯一的。

惡意郵件

在攻擊的第二個(gè)階段，研究人員發(fā)現(xiàn)了多起魚(yú)叉式釣魚(yú)攻擊活動(dòng)。在這些攻擊活動(dòng)中，攻擊者嵌入鏈接到攻擊者控制的基礎(chǔ)設(shè)施。在攻擊活動(dòng)中，使用了2類不同的主體，第一個(gè)是來(lái)自不同組織的面試邀請(qǐng)，第二個(gè)主體是一個(gè)慈善拍賣(mài)的邀請(qǐng)。

圖2 釣魚(yú)郵件示例1

圖3 使用拍賣(mài)主體的郵件主題

隨后的攻擊中使用類似的URI模式，但是子域名是固定的。格式如下：

hxxps://update.secretstep[.]tk/[filename].jpeg?u=[integer]&t=[second_integer]

其中第二個(gè)整數(shù)表示目標(biāo)組織。點(diǎn)擊惡意鏈接后，攻擊者基礎(chǔ)設(shè)施就會(huì)在目標(biāo)組織的Zimbra webmail主機(jī)上嘗試重定向，如果用戶登錄了，那么利用該漏洞就允許攻擊者在用戶登錄的Zimbra 會(huì)話中加載JS代碼。

攻擊者的JS代碼包括：

• 在用戶的收件箱和發(fā)件箱中的每個(gè)郵件中循環(huán);
• 對(duì)每個(gè)郵件，通過(guò)HTTP POST請(qǐng)求發(fā)送郵件主體和附件到配置的回調(diào)地址(mail.bruising-intellect[.]ml)。

從受害者收件箱中提取郵件的循環(huán)如下圖所示：

圖4 收件箱郵件竊取代碼

攻擊成功的效果就是攻擊者可以竊取用戶收件箱的內(nèi)容。攻擊者需要請(qǐng)求一個(gè)含有CSRF-Token的頁(yè)面來(lái)進(jìn)行隨后的竊取郵箱數(shù)據(jù)的內(nèi)容。成功竊取郵件的POST數(shù)據(jù)格式如下所示：

圖5 JS發(fā)送的POST數(shù)據(jù)示例

漏洞影響和補(bǔ)丁

截止目前，該漏洞尚未分配CVE編號(hào)，也沒(méi)有針對(duì)漏洞利用的補(bǔ)丁發(fā)布。Volexity在最新的Zimbra 8.8.15版本上測(cè)試發(fā)現(xiàn)該版本受到影響，因此，研究人員建議用戶盡快升級(jí)到9.0.0版本。

本文翻譯自：https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/