.
Imagens Getty
Uma equipe incansável de hackers pró-Rússia tem explorado uma vulnerabilidade de dia zero em software de webmail amplamente utilizado em ataques direcionados a entidades governamentais e a um think tank, todos na Europa, disseram pesquisadores da empresa de segurança ESET na quarta-feira.
A vulnerabilidade até então desconhecida resultou de um erro crítico de script entre sites no Roundcube, um aplicativo de servidor usado por mais de 1.000 serviços de webmail e milhões de seus usuários finais. Membros de um grupo de hackers pró-Rússia e Bielo-Rússia rastreados como Winter Vivern usaram o bug XSS para injetar JavaScript no aplicativo de servidor Roundcube. A injeção foi acionada simplesmente pela visualização de um e-mail malicioso, o que fez com que o servidor enviasse e-mails de alvos selecionados para um servidor controlado pelo autor da ameaça.
Nenhuma interação manual necessária
“Em resumo, ao enviar uma mensagem de e-mail especialmente criada, os invasores são capazes de carregar código JavaScript arbitrário no contexto da janela do navegador do usuário do Roundcube”, escreveu o pesquisador da ESET Matthieu Faou. “Nenhuma interação manual é necessária além de visualizar a mensagem em um navegador da web.”
Os ataques começaram em 11 de outubro e a ESET os detectou um dia depois. A ESET relatou a vulnerabilidade de dia zero aos desenvolvedores do Roundcube no mesmo dia, e eles lançaram um patch em 14 de outubro. A vulnerabilidade é rastreada como CVE-2023-5631 e afeta as versões 1.6.x do Roundcube antes de 1.6.4, 1.5.x antes 1.5.5 e 1.4.x antes de 1.4.15.
A Winter Vivern está em operação desde pelo menos 2020 e tem como alvo governos e grupos de reflexão, principalmente na Europa e na Ásia Central. Em Março, o grupo de ameaça foi visto tendo como alvo funcionários do governo dos EUA que manifestaram apoio à Ucrânia na sua tentativa de impedir a invasão da Rússia. Esses ataques também exfiltraram os e-mails dos alvos, mas exploraram um XSS separado e já corrigido no Zimbra Collaboration, um pacote de software que também é usado para hospedar portais de webmail.
“Este ator tem sido tenaz ao atacar autoridades americanas e europeias, bem como pessoal militar e diplomático na Europa”, disse um pesquisador de ameaças da empresa de segurança Proofpoint em março, ao divulgar os ataques que exploram a vulnerabilidade do Zimbra. “Desde o final de 2022, [Winter Vivern] investiu muito tempo estudando os portais de webmail de entidades governamentais europeias e examinando infraestruturas públicas em busca de vulnerabilidades, tudo em um esforço para, em última análise, obter acesso a e-mails daqueles intimamente envolvidos em assuntos governamentais e na guerra Rússia-Ucrânia.”
O e-mail que Winter Vivern usou na campanha recente veio do endereço team.management@outlook.com e tinha o assunto “Comece no seu Outlook”.
O e-mail enviado na campanha.
Enterrado profundamente no código-fonte HTML estava um elemento de código malformado conhecido como tag SVG. Ele continha texto codificado em base 64 que, quando decodificado, era traduzido para JavaScript que continha um comando a ser executado caso ocorresse um erro. Como a tag continha um erro intencional, o comando malicioso foi invocado e o bug XSS garantiu que o Roundcube executasse o JavaScript resultante.
ESET
A carga JavaScript final instruiu os servidores vulneráveis a listar pastas e e-mails na conta de e-mail do alvo e a exfiltrar mensagens de e-mail para um servidor controlado pelo invasor, fazendo solicitações HTTP para https://recsecas[.]com/controlserver/saveMessage.
ESET
O sucesso anterior de Winter Vivern ao explorar uma vulnerabilidade Zimbra já corrigida deve ser um aviso. Qualquer pessoa que use o Roundcube como administrador de servidor ou usuário final deve garantir que o software esteja executando uma versão corrigida.
.
