腾讯企业邮箱，Zimbra XSS 0 day漏洞利用可窃取邮件内容

Zimbra XSS 0 day倾向运用可窃取邮件内容  邮箱网    235次浏览  2022年02月16日 星期三 21:55 邮箱网讯 2月16日新闻 Operation EmailThief运用Zimbra XSS 0 day倾向窃取邮件内容。 Zimbra是一个开源邮件平台，常被企业用作Microsoft Exchange外的选项。Volexity钻研职员在Zimbra邮件客户端中发现一个XSS 0 day倾向，侵略者运用该倾向可能窃取cookie信息，以实现对于邮箱内容的不断碰头、运用被黑的邮箱账号来发送钓鱼新闻、下载其余恶意软件。 Operation EmailThief侵略 侵略行动可能分为2个阶段：*个阶段负责侦探内容；第二个阶段迷惑目的来点击恶意侵略者伪造的链接。侵略乐成的话，受益者会从web浏览器登入Zimbra web邮箱客户端时碰头侵略者发送的链接。该链接也可能从运用来启动，好比经由Thunderbird或者Outlook。倾向运用乐成后，侵略者可能在用户的Zimbra会话情景中运行恣意JS代码。全部侵略流程如图1所示： 鱼叉式钓鱼侵略行动 钻研职员在2021年12月发现一个为期2周的鱼叉式钓鱼侵略行动，在侵略中侵略者运用了74个位于的outlook.com邮箱地址。邮箱地址的格式艰深为 侦探阶段 侵略*开始因此2021年12月14日发送的一个鱼叉式钓鱼邮件开始的，经由在邮件中嵌入短途图像来诱运用户魔难或者掀开邮件。邮件中除了短途图像外不含有其余内容，邮件主题艰深黑白定向剩余邮件相关的通用主题。好比：聘用函、机票退款、正告等。 每一个邮件中的图像链接都是仅有的。目的可能是测试邮件地址的实用性，并判断哪些地址更有可能掀开钓鱼邮件新闻。可是Volexity钻研职员并无发现侦探邮件以及随后鱼叉式钓鱼侵略邮件的分割关连。短途图像URL地址如下： hxxp://fireclaws.spiritfield[.]ga/[filename].jpeg?[integer] hxxp://feralrage.spiritfield[.]ga/[filename].jpeg?[integer] hxxp://oaksage.spiritfield[.]ga/[filename].jpeg?[integer] hxxp://claygolem.spiritfield[.]ga/[filename].jpeg?[integer] 每一个URL前面的数是用来识别特定的受益者。每一个子域名对于每一个邮件是仅有的。 恶意邮件 在侵略的第二个阶段，钻研职员发现了多起鱼叉式钓鱼侵略行动。在这些侵略行动中，侵略者嵌入链接到侵略者操作的根基配置装备部署。在侵略行动中，运用了2类差距的主体，*个是来自差距机关的面试聘用，第二个主体是一个慈善拍卖的聘用。 随后的侵略中运用相似的URI方式，可是子域名是牢靠的。格式如下： hxxps://update.secretstep[.]tk/[filename].jpeg?u=[integer]&t=[second_integer] 其中第二个整数展现目的机关。点击恶意链接后，侵略者根基配置装备部署就会在目的机关的Zimbra webmail主机上试验重定向，假如用户登录了，那末运用该倾向就应承侵略者在用户登录的Zimbra 会话中加载JS代码。 侵略者的JS代码搜罗： 在用户的收件箱以及发件箱中的每一个邮件中循环； 对于每一个邮件，经由HTTP POST恳求发送邮件主体以及附件到配置装备部署的回调地址（mail.bruising-intellect[.]ml）。 从受益者收件箱中提取邮件的循环： 侵略乐成的下场便是侵略者可能窃取用户收件箱的内容。侵略者需要恳求一个含有CSRF-Token的页面来妨碍随后的窃取邮箱数据的内容。乐成窃取邮件的POST数据格式如下所示： 倾向影响以及补钉 妨碍当初，该倾向尚未调配CVE编号，也不针对于倾向运用的补钉宣告。Volexity在*新的Zimbra 8.8.15版本上测试发现该版本受到影响，因此，钻研职员建议用户尽快升级到9.0.0版本。 参考及源头：https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/ 标签:倾向邮件内容