OperationEmailThief利用ZimbraXSS0-day漏洞窃取电子邮件内容。Zimbra是一个开源电子邮件平台,企业经常使用它来替代MicrosoftExchange。Volexity研究人员在Zimbra邮件客户端中发现了一个XSS0-day漏洞。攻击者可以利用该漏洞窃取cookie信息以实现对邮箱内容的持续访问,使用被黑的邮箱账号发送钓鱼邮件,下载其他恶意软件。OperationEmailThief攻击活动可分为2个阶段:第一阶段负责侦察内容;第二阶段诱使目标点击恶意攻击者伪造的链接。如果攻击成功,受害者将在从网络浏览器登录到Zimbra网络邮件客户端时访问攻击者发送的链接。该链接也可以从应用程序启动,例如通过Thunderbird或Outlook。成功利用后,攻击者可以在用户的??Zimbra会话上下文中运行任意JS代码。整个攻击流程如图1所示:图1攻击流程鱼叉式钓鱼攻击研究人员在2021年12月发现了一次为期2周的鱼叉式钓鱼攻击,攻击者使用了74个outlook.com邮箱。电子邮件地址的格式一般处于侦察阶段。攻击首先从2021年12月14日发送的鱼叉式钓鱼邮件开始,通过在邮件中嵌入远程图像来诱使用户查看或打开邮件。邮件除了远程图像外不包含其他内容,邮件的主题通常是与非针对性垃圾邮件相关的通用主题。例如:邀请函、退票、警告等。每封邮件中的图片链接都是唯一的。目的可能是测试电子邮件地址的有效性并确定哪些地址更有可能打开网络钓鱼电子邮件。但Volexity研究人员发现侦察电子邮件与随后的鱼叉式网络钓鱼电子邮件之间没有关联。远程图片URL地址如下:hxxp://fireclaws.spiritfield[.]ga/[filename].jpeg?[integer]hxxp://feralrage.spiritfield[.]ga/[filename].jpeg?[integer]hxxp://oaksage.spiritfield[.]ga/[filename].jpeg?[integer]hxxp://claygolem.spiritfield[.]ga/[filename].jpeg?[integer]使用每个URL后面的数字以确定特定的受害者。每个子域对于每封电子邮件都是唯一的。恶意电子邮件在攻击的第二阶段,研究人员发现了多个鱼叉式网络钓鱼活动。在这些活动中,攻击者将链接嵌入到攻击者控制的基础设施中。在攻击中,使用了两个不同的主题。第一张是不同组织的采访邀请,第二张是慈善拍卖的邀请。图2钓鱼邮件示例1图3使用拍卖标的邮件主题在后续的攻击中使用了类似的URI模式,但是子域名是固定的。格式如下:hxxps://update.secretstep[.]tk/[filename].jpeg?u=[integer]&t=[second_integer]其中第二个整数代表目标组织。单击恶意链接后,攻击者的基础设施会尝试重定向到目标组织的Zimbrawebmail主机,如果用户已登录,则利用此漏洞允许攻击者在用户已登录的Zimbra会话中加载JS代码。攻击者的JS代码包括:循环遍历用户收件箱和发件箱中的每封邮件;对于每封电子邮件,通过HTTPPOST请求将电子邮件正文和附件发送到配置的回调地址(mail.bruising-intellect[.]ml)。从受害者收件箱中提取电子邮件的循环如下图所示:图4收件箱电子邮件窃取代码攻击成功的效果是攻击者可以窃取用户收件箱中的内容。攻击者需要请求包含CSRF-Token的页面,用于后续窃取邮箱数据的内容。成功窃取邮件的POST数据格式如下:图5JS发送POST数据示例漏洞影响及补丁目前,该漏洞尚未获得CVE编号,也未发布漏洞利用补丁。Volexity在最新的Zimbra版本8.8.15上进行测试,发现该版本受到影响。因此研究人员建议用户尽快升级到9.0.0版本。本文翻译自:https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/
