日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
ZimbraXSS0day漏洞利用可竊取郵件內(nèi)容

Operation EmailThief利用Zimbra XSS 0 day漏洞竊取郵件內(nèi)容。

Zimbra是一個開源郵件平臺,常被企業(yè)用作Microsoft Exchange外的選項(xiàng)。Volexity研究人員在Zimbra郵件客戶端中發(fā)現(xiàn)一個XSS 0 day漏洞,攻擊者利用該漏洞可以竊取cookie信息,以實(shí)現(xiàn)對郵箱內(nèi)容的持續(xù)訪問、利用被黑的郵箱賬號來發(fā)送釣魚消息、下載其他惡意軟件。

Operation EmailThief攻擊

攻擊活動可以分為2個階段:第一個階段負(fù)責(zé)偵查內(nèi)容;第二個階段引誘目標(biāo)來點(diǎn)擊惡意攻擊者偽造的鏈接。攻擊成功的話,受害者會從web瀏覽器登入Zimbra web郵箱客戶端時訪問攻擊者發(fā)送的鏈接。該鏈接也可以從應(yīng)用來啟動,比如通過Thunderbird或Outlook。漏洞利用成功后,攻擊者可以在用戶的Zimbra會話環(huán)境中運(yùn)行任意JS代碼。整個攻擊流程如圖1所示:

圖1 攻擊流程

魚叉式釣魚攻擊活動

研究人員在2021年12月發(fā)現(xiàn)一個為期2周的魚叉式釣魚攻擊活動,在攻擊中攻擊者使用了74個位于的outlook.com郵箱地址。郵箱地址的格式一般為

偵查階段

攻擊最開始是以2021年12月14日發(fā)送的一個魚叉式釣魚郵件開始的,通過在郵件中嵌入遠(yuǎn)程圖像來誘使用戶查看或打開郵件。郵件中除了遠(yuǎn)程圖像外不含有其他內(nèi)容,郵件主題一般是非定向垃圾郵件相關(guān)的通用主題。比如:邀請函、機(jī)票退款、警告等。

每個郵件中的圖像鏈接都是唯一的。目的可能是測試郵件地址的有效性,并確定哪些地址更有可能打開釣魚郵件消息。但是Volexity研究人員并沒有發(fā)現(xiàn)偵查郵件和隨后魚叉式釣魚攻擊郵件的關(guān)聯(lián)。遠(yuǎn)程圖像URL地址如下:

hxxp://fireclaws.spiritfield[.]ga/[filename].jpeg?[integer]
hxxp://feralrage.spiritfield[.]ga/[filename].jpeg?[integer]
hxxp://oaksage.spiritfield[.]ga/[filename].jpeg?[integer]
hxxp://claygolem.spiritfield[.]ga/[filename].jpeg?[integer]

每個URL后面的數(shù)是用來識別特定的受害者。每個子域名對每個郵件是唯一的。

惡意郵件

在攻擊的第二個階段,研究人員發(fā)現(xiàn)了多起魚叉式釣魚攻擊活動。在這些攻擊活動中,攻擊者嵌入鏈接到攻擊者控制的基礎(chǔ)設(shè)施。在攻擊活動中,使用了2類不同的主體,第一個是來自不同組織的面試邀請,第二個主體是一個慈善拍賣的邀請。

圖2 釣魚郵件示例1

圖3 使用拍賣主體的郵件主題

隨后的攻擊中使用類似的URI模式,但是子域名是固定的。格式如下:

hxxps://update.secretstep[.]tk/[filename].jpeg?u=[integer]&t=[second_integer]

其中第二個整數(shù)表示目標(biāo)組織。點(diǎn)擊惡意鏈接后,攻擊者基礎(chǔ)設(shè)施就會在目標(biāo)組織的Zimbra webmail主機(jī)上嘗試重定向,如果用戶登錄了,那么利用該漏洞就允許攻擊者在用戶登錄的Zimbra 會話中加載JS代碼。

攻擊者的JS代碼包括:

  • 在用戶的收件箱和發(fā)件箱中的每個郵件中循環(huán);
  • 對每個郵件,通過HTTP POST請求發(fā)送郵件主體和附件到配置的回調(diào)地址(mail.bruising-intellect[.]ml)。

從受害者收件箱中提取郵件的循環(huán)如下圖所示:

圖4 收件箱郵件竊取代碼

攻擊成功的效果就是攻擊者可以竊取用戶收件箱的內(nèi)容。攻擊者需要請求一個含有CSRF-Token的頁面來進(jìn)行隨后的竊取郵箱數(shù)據(jù)的內(nèi)容。成功竊取郵件的POST數(shù)據(jù)格式如下所示:

圖5 JS發(fā)送的POST數(shù)據(jù)示例

漏洞影響和補(bǔ)丁

截止目前,該漏洞尚未分配CVE編號,也沒有針對漏洞利用的補(bǔ)丁發(fā)布。Volexity在最新的Zimbra 8.8.15版本上測試發(fā)現(xiàn)該版本受到影響,因此,研究人員建議用戶盡快升級到9.0.0版本。

本文翻譯自:https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/


當(dāng)前標(biāo)題:ZimbraXSS0day漏洞利用可竊取郵件內(nèi)容
文章出自:http://www.dlmjj.cn/article/dpjeech.html